Quali funzionalità di sicurezza sono disponibili in Struts?
https://stackoverflow.com/questions/302357
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Ho il compito di sviluppare un'applicazione web e sto pensando di utilizzare il framework Struts in quanto sembra essere uno standard ed è facile da implementare.
Tuttavia, prima di prendere una decisione, devo conoscere le funzionalità di sicurezza disponibili in Struts.
Esistono modi efficaci per gestire le OWASP Top 10 utilizzando Struts? E se è così, come potrei realizzarlo?
Soluzione
Struts è lì per offrirti un framework MVC e ha funzionalità di sicurezza limitate, ad es. puoi associare i ruoli alle azioni. Ti consiglierò di esaminare qualcosa di più completo come Spring Security ( precedentemente Acegi).
Altri suggerimenti
Il modo migliore per gestire OWASP Top ten in struts è guardare l'API OWASP Enterprise Security ...
Anche per le funzionalità menzionate da YC, probabilmente non vorrai usare un file di configurazione Struts pronto all'uso per impostare gli ACL per le tue azioni. Potrebbe essere meglio esaminare a livello di codice lo stato in HttpRequest quando esce da ActionServlet, prima che raggiunga le tue azioni Struts (ovvero questo HttpRequest proviene da un utente autenticato e autorizzato con l'URL?). In alternativa, potresti intercettare la richiesta con un ServletFilter, anche se dovresti fare attenzione per assicurarti che sia thread-safe.
