我在Google和Stackoverflow中搜索了很多关于Java中的Web应用程序安全性的内容,但我无法理解哪一个是我的Web应用程序的最佳模式。Java Web应用程序安全理念
我想使用JSP/Servlet,我的web服务器是Tomcat。
Web应用程序的安全性对我们来说非常重要,但我真的不知道我有什么?或者什么是最好的方法?!
我研究了关于Tomcat Realm,Acegi,Spring Security .....
谢谢。
如果你使用Spring去Spring Security(Acegi是Spring安全性的旧版本)。如果不使用Shiro。由于服务器依赖性和单元测试,我不赞成tomcat领域。
仔细查看Container Managed Authentication。它是Servlet规范的一部分,所以不依赖于服务器。大部分的辛苦工作都是由容器完成的。您只需提供一个与您的用户数据库连接的JAAS LoginModule,对其进行身份验证并设置其角色。剩下的部分是web.xml配置哪些URL需要什么角色来访问它们。
我认为这种方法非常静态,因为每次我改变角色或添加新角色时,我都必须重新启动tomcat。我需要更灵活的东西...... – JaVaBoy
我也会为Spring安全投票。有一个最新的Spring 3.0版本,不是ACEGI安全性 ,而且安静灵活。确保你了解语义。请看看
有其捆绑一些示例应用程序。你可以下载它们中的任何一个,在tomcat中部署war,并查看示例代码以便更好地理解。 希望这有助于, 本
如果安全性很重要,那么了解您的应用程序的安全机制是非常重要的。 Tomcat和Spring中的框架可能非常灵活和强大,但它们也相当复杂。如果你选择其中一个,确保你很好地理解它们,这样你就不会因为错误的配置而引入安全漏洞。 – sstendal