應該在Java EE項目中審覈哪些內容

Question

我需要在審計項目時提供建議。

目前我正在開發的項目有許多行動「用戶」可以執行諸如：

• 更改自己的密碼
• 添加，刪除權限
• 添加，刪除角色
• 上傳文件
• 許多其他..

所有這些操作都可以通過用戶進行審覈，但是我不知道它是否通常以審覈以下內容爲例：

密碼策略聲明用戶密碼必須包含至少1個符號和1位數字。某些用戶在某個特定時間嘗試更改密碼而不關心策略，當然他會得到一條消息，說明密碼策略不受尊重，但是應該對此進行審覈嗎？我只想要那些以前曾經接受過審計的人的意見，或者知道這件事。

另一種可能的情況是，當用戶試圖刪除一些不存在的東西，例如，擁有一個空的權限列表並試圖刪除一個不存在的列表時，用戶會再次收到一條消息說要選擇至少一個刪除權限，但是應該審覈此操作？

任何反饋是值得歡迎的，我第一次審計項目，謝謝:)

Answer 1

這在很大程度上取決於你的需求。客戶或企業的規定要求什麼？你想審計，讓你的系統更安全嗎？ （通過學習什麼惡意用戶做）

而「審計」，你的意思是將其登錄到一個文件或插入到數據庫中以獲取統計數據？

編輯 審計一切可能是有點貴，所以我建議你做優先次序的項目清單。我的清單看起來像這樣。

• 任何500 HTTP錯誤（這通常是很容易做到的）
• 登錄（成功的和失敗的）
• 變化是企業重要的任何實體（例如更改個人資料）和/或對於應用程序很重要（正如你提到的向用戶添加/刪除角色）。
• 拒絕訪問錯誤（雖然沒有項目與在數據庫中該ID以666獲取物品）
• 僞造的URL（用戶，誰試圖訪問他沒有允許訪問的網站的一部分的記錄）
• 返回404的URL（潛在用戶探測應用程序）。

再一次，我的名單，你可能需要拿出你自己的。因爲您可能想要進行更高級的審計，例如「在網站上花費的時間」。

另一件重要的事情：儘可能地使日誌可讀和可搜索。