我们正在开发一个项目,该项目包含Spring网站,为第三方客户提供Rest Web服务以及我们自己的移动应用程序。 我们计划的架构是为移动应用程序实现资源所有者授权类型,为Restful Web服务实现客户端凭据授予。 现在我们想要在Spring网站上使用Spring安全性Oauth2或传统的Spring安全性做出决定。由于我们在医疗保健方面,我们更关注安全问题。任何人都可以建议我网站的最佳实施,以克服下面链接中提到的安全风险 https://www.owasp.org/index.php/Top_10_2013-Top_10
非常感谢。
答案 0 :(得分:0)
您绝对可以使用Spring Security来解决OWASP defects。您可以写入很多Custom Filters,这些springSecurityFilterChain将添加到Cross Site Scripting。
请参阅此帖子以了解如何编写自定义过滤器。
How to write a custom filter in spring security?
请参阅Spring安全模块下面的OWASP缺陷列表 将解决:
1.使用此自定义过滤器,您可以escape all the unwanted script tags处理OWASP's Sensitive Data Exposure defect个问题。
2.Spring Security的加密模块提供必要的加密功能,可以解决Insecure Direct Object References。
3.使用Spring安全的授权机制,它将解决
OWASP' $profile缺陷