Какие функции безопасности доступны в Struts?
https://stackoverflow.com/questions/302357
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Мне поручено разработать веб-приложение, и я думаю об использовании инфраструктуры Struts, так как она кажется стандартной и простой в реализации.
Однако, прежде чем принимать решение, мне нужно знать функции безопасности, доступные в Struts.
Существуют ли эффективные способы обработки OWASP Top 10 с помощью Struts? И если да, то как бы я это сделал?
Решение
Struts предлагает вам инфраструктуру MVC, которая имеет ограниченные функции безопасности, например, Вы можете сопоставить роли с действиями. Я рекомендую вам взглянуть на что-то более полноценное, например, Spring Security ( ранее Acegi).
Другие советы
Лучший способ справиться с первой десяткой OWASP - взглянуть на OWASP Enterprise Security API ...
Даже для функций, которые упоминает YC, вы, вероятно, не хотите использовать файл конфигурации Struts из коробки для настройки ACL для ваших действий. Может быть, лучше программно проверить состояние в HttpRequest по мере его выхода из ActionServlet, прежде чем оно достигнет ваших действий Struts (т. Е. Этот HttpRequest исходит от аутентифицированного и авторизованного пользователя с учетом URL-адреса?). В качестве альтернативы, вы можете перехватить запрос с помощью ServletFilter, хотя вам нужно быть осторожным, чтобы убедиться, что он потокобезопасен.
