接上篇
在对安全有很高限制的地方,我们应该提供视图 供用户操作,不提供基础数据库表。<o:p></o:p>
在我们的技术服务平台上,我们应该考虑使用这种方式,<o:p></o:p>
<o:p> </o:p>
<o:p> </o:p>
1、 注册用户和非注册用户所能访问的资源存放在不同的文件夹中-------------------页面原型人员和开发人员尤其注意<o:p></o:p>
2、 限制用户存放在服务器上的文件数量、大小、格式<o:p></o:p>
比如:在文件上传的时候,要限制用户上传的文件的格式,大小等等,在后台做校验<o:p></o:p>
<o:p> </o:p>
3、 检验I/O的数据<o:p></o:p>
前台使用JS 验证并不能得到让人满意的效果,在服务器端有必要进行再次检验<o:p></o:p>
<o:p> </o:p>
4、 暴力破解<o:p></o:p>
一般都是选用验证码,但是一定要是有背景的验证码<o:p></o:p>
5、 隐私的保护<o:p></o:p>
6、 Web service的安全问题<o:p></o:p>
对此,目前我们要考虑的是AJAX的安全问题。<o:p></o:p>
对AJAX的安全方面目前大家都还在沉迷于它的客户感受,没考虑安全方面问题。<o:p></o:p>
我们在这里能做的就是:<o:p></o:p>
1) 少暴露不必要的业务方法----DWR框架<o:p></o:p>
2) ……… -------dojo框架<o:p></o:p>
3) 不建议使用原始的javaScript + XML来处理AJAX<o:p></o:p>
Web service的问题中还有 XPATH、 XML 、XHTML、WDSL、SOAP等存在着一定的漏洞。<o:p></o:p>
这些在以后做技术服务平台的时候,再去考虑。<o:p></o:p>
7、 每一步动作,均写到日志表<o:p></o:p>
<o:p> </o:p>
为以后出现安全漏洞查找<o:p></o:p>
18、URL重写<o:p></o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p></o:p>
1. 方案选择:<o:p></o:p>
业界对JAVA EE的解决方案是这样的:<o:p></o:p>
1) CA<o:p></o:p>
2) SSL<o:p></o:p>
3) JAAS<o:p></o:p>
4) ACEGI<o:p></o:p>
1.1. CA<o:p></o:p>
对我们来说, 不是多重要,CA需要认证机构发证书
1.2. SSL<o:p></o:p>
在ACEGI中去做
<o:p> </o:p>
1.3. JAAS<o:p></o:p>
编程式的------------------不采用,在此不做介绍,有感兴趣的,找我提供一些资料
<o:p> </o:p>
1.4. ACEGI-----SSO<o:p></o:p>
由于我们要写2套姐妹系统----电子商务网和技术服务平台<o:p></o:p>
就存在着两套用户注册与登陆,这样用户在使用起来比较麻烦,让人反感。<o:p></o:p>
这样就存在一个需求:就是将2套乃至今后更多套的用户的登陆和授权统一起来,集中在一套页面去维护多套系统。<o:p></o:p>
为此,我们就需要单点登陆来处理。<o:p></o:p>
这样就直接使用acegi和cas来进行开发,方便以后系统的扩展和维护。<o:p></o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
附:<o:p></o:p>
Acegi特性说明:<o:p></o:p>
1、 便携性----方便部署
2、 多认证方式 -------ssl form
3、 保护http请求不需要在web.xml文件中配置,直接在<bean></bean>文件中配置即可-------很好(配置即可)
4、 保护服务层的业务方法
这个只有EJB3才能享受的到,acegi也提供了,只要是POJO受管就可(配置即可)
<o:p> </o:p>
5、 灵活的安全传输通道 ---可以在http https之间灵活的切换(配置即可)
6、 安全性上下文的传播-----------目前还不需要
7、 提供标签库操作
8、 提供remember---me认证----cookie---------------用户登陆
9、 提供EhCache集成
10、 提供优异的Captcha集成
11、 支持Spring的事件机制
12、 很好的国际化问题
13、 提供一流的并发会话处理
<o:p> </o:p>
Acegi简单示例一个<o:p></o:p>
见gww的开发源码。
<o:p> </o:p>
分享到:
相关推荐
安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件
应用系统软件安全服务方案.docx应用系统软件安全服务方案.docx应用系统软件安全服务方案.docx应用系统软件安全服务方案.docx应用系统软件安全服务方案.docx应用系统软件安全服务方案.docx应用系统软件安全服务方案....
软件安全测试报告.pdf
软件安全承诺书保证软件安全的一些规范,一些要求,总而让我们遵守规则保证软件的安全。
太原理工大学软件安全技术实验 一共四个实验。 内容包括:漏洞分析实验,SQL注入,登陆页面需求分析,编写正则表达式 适合学习软件安全技术的学生,包括了利用OLLyDBG对C语言进行漏洞分析,以及DVWA靶场下的SQL注入...
安全合规-软件安全开发过程规范.docx安全合规-软件安全开发过程规范.docx安全合规-软件安全开发过程规范.docx安全合规-软件安全开发过程规范.docx安全合规-软件安全开发过程规范.docx安全合规-软件安全开发过程规范....
应用软件安全编程指南,本标准对应用软件安全编程进行规范和指导,帮助应用软件开发者在编程开发阶段尽可能考虑安全要素,以提升软件的安全性,避免在软件发布后由安全问题造成的重大损失。 本标准主要针对PC或(和)...
内容含DevSecOps参考设计指南、软件安全构建成熟度模型、DevSecOps企业实践、Javascript编码安全指南、JAVA代码审计、软件保证成熟度模型、威胁建模、PHP代码审计、阿里Java开发手册、DevSecOps最佳实践、安全编码...
"独立软件产品技术要求模板和软件网络安全描述模板.docx" 本文档提供了独立软件产品技术要求模板和软件网络安全描述模板,旨在帮助开发者和测试者更好地理解独立软件产品的技术要求和网络安全描述。 独立软件产品...
软件研发安全管理制度.pdf软件研发安全管理制度.pdf软件研发安全管理制度.pdf软件研发安全管理制度.pdf软件研发安全管理制度.pdf软件研发安全管理制度.pdf软件研发安全管理制度.pdf软件研发安全管理制度.pdf
软件系统安全保障方案,包括目录结构和一些通用性的描述。目录结果: 安全保障方案 1 目 录 1 1、 保障方案概述 3 2、 系统安全目标与原则 3 2.1 安全设计目标 3 2.2 安全设计原则 3 3、 系统安全需求分析 4 ...
这份软件安全监测报告主要是监测java开发程序中出现的安全问题,找了一个项目程序监测后出现的原版报告显示,在使用DES加解密的情况下,会被检测出这种加解密属于弱加解密,不太安全,里面有具体的安全措施建议;...
新版《信息安全技术-移动智能终端应用软件安全技术要求和测试评价方法》征求意见稿-编制说明.doc.pdf新版《信息安全技术-移动智能终端应用软件安全技术要求和测试评价方法》征求意见稿-编制说明.doc.pdf新版《信息...
项目交付时,必须提供的系统安全保障方案,大家软件项目交付时可以参考
uestc,软件安全课程人力资源管理系统威胁建模,郭建东
软件安全实现 安全编程技术
Android软件安全与逆向分析_带书签
关于软件安全测试方面的教程,内容很详细,适合网络安全爱好者学习。
安全合规-软件安全开发过程规范.pdf
软件系统项目实施售后、安全保障机制整体解决方案.docx软件系统项目实施售后、安全保障机制整体解决方案.docx软件系统项目实施售后、安全保障机制整体解决方案.docx软件系统项目实施售后、安全保障机制整体解决方案....