我正在做一个项目,我们必须在 Java EE 企业环境中实现安全性。刚刚学习完 JSP 和 Servlet 以及 java 中的 Spring 依赖注入。在企业环境中保护 Java 应用程序方面,接下来我应该关注什么?
问问题
75 次
3 回答
1
首先考虑在没有Spring Security 的情况下您将实现哪些安全问题。例如,您的身份验证会是基本身份验证、OAuth、记住我等吗?研究如何维护授权访问控制列表(如果需要)。证书。加密。等等。
然后,您想看看处理这些事情的“Java 方式”——servlet 过滤器、带有 LDAP 的 JNDI 等等。
最后,看看 Spring Security 是如何让处理 Java 做事方式变得更容易的。
另一种选择是简单地查看 Spring Security文档的目录,并检查它们提供了哪些类型的特性。然后向后工作,看看你需要考虑什么。例如,当您看到 Spring Security 支持 OpenID 时,也许这就是您阅读 OpenID 是什么以及它如何独立于 Spring 甚至 Java 工作的提示。
我知道这不是很具体,但是您的问题非常广泛。希望能帮助到你。
于 2013-11-10T00:13:33.010 回答
0
文档和综合书籍可能更适合以后使用。
我认为最好的下一步是阅读 Manning Spring in Action一书中的第 9 章“Securing Spring”。
本章会有一个spring security的入门级描述,这是从本章开始的:
“Spring Security 提供了一个全面的安全解决方案,在 Web 请求级别和方法调用级别处理身份验证和授权。”
它还包括保护视图级元素。Spring Security 还支持 ACL,请确保通过:
于 2013-11-10T14:06:17.667 回答
0
关于 Spring Security 有一本很不错的书:Spring Security 3.1
于 2013-11-10T09:51:41.860 回答