在java中安全的Web应用程序开发

时间:2011-03-18 08:45:53

标签: java security session https

我已经要求使用java(使用开源框架)进行Web应用程序,这应该是一个高度安全的应用程序。

我的印象是使用https将解决与浏览器和服务器之间的通信相关的所有问题。这是对的吗?

如果我想将登录详细信息存储到会话对象中。假设连接是https,我是否真的安全。

请给我一些关于如何使用java开发安全(to sustain session ID spoofing etc..)应用程序的想法。我一直在做普通的用户名和密码登录应用程序,系统将用户信息(如用户名和角色)存储到会话对象中。

谢谢&的问候,

Venky

3 个答案:

答案 0 :(得分:4)

在开始开发安全的Web应用程序之前,请阅读OWASP指南。

答案 1 :(得分:3)

您可以使用Spring Security来保护您的应用程序,从而可以根据分配给用户的角色,使用注释,请求地图等轻松处理登录和注销例程以及对应用程序的访问控制。它处理存储登录信息。如果您发现某些事情应该以不同的方式完成,您可以实现自己的机制来满足您的需求 - Spring Security可以通过接口进行高度自定义。可能性是巨大的,据我所知,Spring Security现在非常适合保护基于Java的Web应用程序。

我个人在grails应用程序中使用Spring Security,我对它的工作方式和它的可能性非常满意。

答案 2 :(得分:1)

  

我的印象是使用https将解决与浏览器和服务器之间的通信相关的所有问题。这是对的吗?

,因为它不会以普通形式发送请求,它会加密并发送。

  

如果我想将登录详细信息存储到会话对象中。假设连接是https,我是否真的安全。

它与https无关,它将存储在服务器上。

要在您的网络服务器中启用HTTPS,您需要使用您的网络/应用服务器配置SSL