¿Qué tan seguro es Spring Security? ¿Es lo suficientemente bueno para usar Spring Security en la aplicación web para el sistema bancario o algo equivalente?¿Qué tan seguro es Spring Security?
Respuesta
Spring La seguridad en sí misma es muy buena. Es ampliamente utilizado y cualquier problema se resuelve con alta prioridad. Sin embargo, como ocurre con la mayoría de las tecnologías, si la usa de forma incorrecta, su aplicación no será segura.
Si lo uso de "la manera más segura", ¿será lo suficientemente seguro? - Sí
Gracias por su opinión. ¿Tiene alguna pista sobre el uso de "la manera más segura" de Spring Security? – marioosh
de acuerdo. Estoy trabajando en una aplicación web y el cliente decidió usar Spring Security. Descubrimos dos años después que cualquier usuario autenticado podía hacer algo dentro de la aplicación: simplemente no había un mecanismo de autorización. –
Las versiones anteriores de la seguridad de Primavera (conocido como acegi vuelta en el día) requiere una cantidad bastante grande de configuración y por lo tanto era posible perder algo y dejar un agujero en su seguridad. Las versiones recientes han reducido significativamente la complejidad y ahora usan valores predeterminados razonables.
Sin embargo, Spring sigue siendo extremadamente flexible y extensible, lo que proporciona a los desarrolladores una gran potencia, pero como siempre la potencia viene con la responsabilidad. En lo que respecta a la seguridad de Spring, un poco de conocimiento es algo peligroso. Recomiendo encarecidamente que comprenda bien el marco antes de realizar cualquier personalización. También es una buena idea involucrarse en el forums y solicitar a la comunidad que revisen las áreas de alto riesgo de código/personalización.
Hemos implementado la seguridad de primavera para muchos bancos y otras instituciones financieras, tanto en los EE.UU. y Europa por lo que en ese sentido es sin duda "adecuado para el propósito"
Tenga cuidado de la aplicación de la primavera de Seguridad de las aplicaciones requieren alto nivel de seguridad como el sistema de seguridad bancaria. En primer lugar, preste atención a la seguridad de su aplicación con métodos criptográficos sólidos y asegurando el canal de datos. entonces puedes integrarlo en algún marco como Spring Security.
La seguridad de primavera es una de las mejores cosas que ofrece la infraestructura de Spring, es altamente capaz de encargarse tanto de la autenticación como de la autorización.
El desafío es modelarlo correctamente con los elementos clave correctos de la estructura colocados en el lugar correcto. He tratado de ilustrar sus capacidades en una de mis entradas de blog, consulte http://www.nimblegeek.com/2012/08/role-base-application-modelling-using.html
¿Por qué el voto a favor? –
- 1. ¿Qué tan seguro es javax.crypto.Cipher?
- 2. ¿Qué tan seguro es PHP?
- 3. PHP Mcrypt, ¿qué tan seguro es realmente?
- 4. ¿Qué tan seguro es actualizar la base?
- 5. ¿Qué tan seguro es $ _SERVER ["HTTP_HOST"]?
- 6. ¿Qué tan seguro es usar Maven?
- 7. ¿Qué tan seguro es un HTTP POST?
- 8. ¿Qué tan seguro es `UnsafePerformIO (newTVarIO 0)`?
- 9. ¿Qué tan seguro es usar document.body.innerHTML.replace?
- 10. ¿Qué tan seguro es ProtectedData.Protect (DPAPI)?
- 11. Captcha alternativa, ¿qué tan seguro?
- 12. Spring security accessing principal
- 13. ¿Qué tan seguro es el filtrado de la dirección IP?
- 14. ¿Qué tan seguro es php curl en ssl/https?
- 15. ¿Qué tan seguro es el marco de membresía de ASP.NET?
- 16. ¿Qué tan seguro es un AppDomain con sandboxed con SecurityPermissionFlag.Execution?
- 17. ¿Qué tan seguro es el thread enum en java?
- 18. https URL con el parámetro token: ¿qué tan seguro es?
- 19. ¿Qué tan seguro es usar enlaces `// domain.com /` (sin esquema)?
- 20. ¿Qué tan seguro es "git" con una conexión no confiable?
- 21. ¿Qué tan seguro es SQLite WAL en fallas de energía?
- 22. ¿Qué tan seguro es apache Commons-javaflow mientras usa jasperreports
- 23. ¿Qué tan seguro para los hilos es V4L2?
- 24. ¿Qué tan seguro es almacenar la sesión con Redis?
- 25. Spring Security Meta Annotation
- 26. Spring Security: setUserPrincipal manualmente
- 27. burying authentication spring security
- 28. ¿Puedo usar Spring Social con Spring Security?
- 29. spring-security: autorización sin autenticación
- 30. Spring Security filtro personalizado
Spring Security en sí no es ni seguro ni inseguro. Si es seguro depende de cómo lo use. – skaffman
Si lo uso de la "manera más segura", ¿será lo suficientemente seguro? – marioosh
para sistema bancario Prefiero la pila estándar de Java ee. No sé si uno con el fondo de primavera 6 o 7 (próximo par de años) podría manejar una gran cantidad de archivo de configuración de primavera 2.5 xml –