我有一段时间怀疑这一点,今天我的位置并不那么强,尽管已经采取了一个。
每当我开发或参与应用程序(WEB)的开发时,通常都会对安全性进行处理,即我们会处理与安全性相关的所有进程,会话直到加密密码等。
我记得听到有人说使用框架(Spring,Apache Shiro等)总是更好。
你的建议是什么?
答案 0 :(得分:1)
是的,使用框架而不是再重新发明整个车轮总是更好。我个人更喜欢Apache Shiro,并通过扩展提供的类来进行自定义以满足我的需求。
REad here http://shiro.apache.org/
有些要点你的中频是:
自定义代码等于自定义漏洞:对于Web应用程序,您通常自己生成大多数应用程序代码(即使使用通用框架和插件)。这意味着大多数漏洞对您的应用程序来说都是独一无二的。这也意味着,除非您不断评估自己的应用程序,否则没有人会告诉您何时首先发现漏洞。
您是供应商:当出现漏洞时,您将不会有外部供应商提供补丁(当然,您必须为任何基础架构组件,框架和您使用的脚本环境)。如果您向客户提供外部服务,您可能需要满足您提供的任何服务级别协议,并且必须准备好在您查看自己的软件供应商时查看它们,即使软件不是您的业务。您必须修补自己的漏洞,处理自己的客户关系,并提供您向那些为您提供软件和服务的人所期望的一切。
依赖于框架/平台:我们很少从头开始使用闪亮的新C代码构建我们的Web应用程序。我们使用不同框架,开发工具,平台和现成组件的混合物将它们拼凑在一起。我们面临的挑战是保护和部署这些部分以及我们构建的自定义代码。在许多情况下,由于底层代码的复杂性,我们通过无意中使用这些组件或多个层之间的交互来创建安全问题。当我们可以使用所有其他部分时,为什么不使用安全性,只要保持和关注如果在该框架中发现任何不适当性并通过更新进行响应,因为社区可以比自己更快更好地更新。