我已经要求使用java(使用开源框架)进行Web应用程序,这应该是一个高度安全的应用程序。
我的印象是使用https将解决与浏览器和服务器之间的通信相关的所有问题。这是对的吗?
如果我想将登录详细信息存储到会话对象中。假设连接是https,我是否真的安全。
请给我一些关于如何使用java开发安全(to sustain session ID spoofing etc..)应用程序的想法。我一直在做普通的用户名和密码登录应用程序,系统将用户信息(如用户名和角色)存储到会话对象中。
谢谢&的问候,
Venky
答案 0 :(得分:4)
在开始开发安全的Web应用程序之前,请阅读OWASP指南。
答案 1 :(得分:3)
您可以使用Spring Security来保护您的应用程序,从而可以根据分配给用户的角色,使用注释,请求地图等轻松处理登录和注销例程以及对应用程序的访问控制。它处理存储登录信息。如果您发现某些事情应该以不同的方式完成,您可以实现自己的机制来满足您的需求 - Spring Security可以通过接口进行高度自定义。可能性是巨大的,据我所知,Spring Security现在非常适合保护基于Java的Web应用程序。
我个人在grails应用程序中使用Spring Security,我对它的工作方式和它的可能性非常满意。
答案 2 :(得分:1)
我的印象是使用https将解决与浏览器和服务器之间的通信相关的所有问题。这是对的吗?
是,因为它不会以普通形式发送请求,它会加密并发送。
如果我想将登录详细信息存储到会话对象中。假设连接是https,我是否真的安全。
它与https无关,它将存储在服务器上。
要在您的网络服务器中启用HTTPS,您需要使用您的网络/应用服务器配置SSL