spring - 如何保护 applicationContext-security

Question

有没有办法阻止用户更改 Spring Security 框架中的 applicationContext-security.xml 以便他无法更改应用程序定义的拦截 URL。

<intercept-url access="hasRole('ROLE_ADMIN')" pattern="/choices/**"/>
<intercept-url access="hasAnyRole('ROLE_SYSADMIN')" pattern="/departments/**"/>
<intercept-url access="hasAnyRole('ROLE_SYSADMIN')" pattern="/employees/**"/>

score 0 · Accepted Answer

我还没有这样做，但你可以通过签署你的 jar 并在启动时以编程方式验证它来做到这一点。

验证 Jar 签名

通过启动您的应用程序，您必须触发验证 JARfile 的代码，并在签名不可用或无法操作时执行一些操作以使启动失败。

另请参阅：http ://docs.oracle.com/javase/tutorial/deployment/jar/signindex.html

这不会阻止“攻击者”解包 jar，修改代码并在没有签名清单的情况下打包它，但工作量会高得多（根据您的验证和预防机制）。

至少你可以使用 yGuard 来混淆和缩小你的类文件。

spring - 如何保护 applicationContext-security

1 回答 1

Related

Reference