根据OWASP,前10个敏感信息如id需要通过客户端和服务器之间的传递进行加密。 春天怎么样? 我的意思是 : 弹簧有可能吗? 如何生成密钥? 需要密钥库(如oracle)还是密钥生成器?
编辑:
示例:
我写了一个API: http://localhost:8080/Estate/api/estates/ {ID}
用户' A'可以访问id 12,但我应该阻止访问id 14,15,16 所以我应该加密id。
答案 0 :(得分:1)
作为webapp的安全基础,您可能希望使用HTTPS。
您可以强制Spring Security使用HTTPS,其配置如下:
<http>
<intercept-url pattern="/**" access="ROLE_ANONYMOUS" requires-channel="https"/>
...
</http>
这不会为您设置HTTPS,您需要在Tomcat或您使用的servlet容器中执行此操作。
对于公共有效服务器,您需要从安全公司订购证书,对于内部和测试,您可以使用例如Portecle创建密钥库。