我在Google和Stackoverflow中搜索了很多關於Java中的Web應用程序安全性的內容,但我無法理解哪一個是我的Web應用程序的最佳模式。Java Web應用程序安全理念
我想使用JSP/Servlet,我的web服務器是Tomcat。
Web應用程序的安全性對我們來說非常重要,但我真的不知道我有什麼?或者什麼是最好的方法?!
我研究了關於Tomcat Realm,Acegi,Spring Security .....
謝謝。
如果你使用Spring去Spring Security(Acegi是Spring安全性的舊版本)。如果不使用Shiro。由於服務器依賴性和單元測試,我不贊成tomcat領域。
仔細查看Container Managed Authentication。它是Servlet規範的一部分,所以不依賴於服務器。大部分的辛苦工作都是由容器完成的。您只需提供一個與您的用戶數據庫連接的JAAS LoginModule,對其進行身份驗證並設置其角色。剩下的部分是web.xml配置哪些URL需要什麼角色來訪問它們。
我認爲這種方法非常靜態,因爲每次我改變角色或添加新角色時,我都必須重新啓動tomcat。我需要更靈活的東西...... – JaVaBoy
我也會爲Spring安全投票。有一個最新的Spring 3.0版本,不是ACEGI安全性 ,而且安靜靈活。確保你瞭解語義。請看看
有其捆綁一些示例應用程序。你可以下載它們中的任何一個,在tomcat中部署war,並查看示例代碼以便更好地理解。 希望這有助於, 本
如果安全性很重要,那麼瞭解您的應用程序的安全機制是非常重要的。 Tomcat和Spring中的框架可能非常靈活和強大,但它們也相當複雜。如果你選擇其中一個,確保你很好地理解它們,這樣你就不會因爲錯誤的配置而引入安全漏洞。 – sstendal