Galera,
Que tipo de segurança vocês implementam em suas aplicações?
A única coisa que eu faço é criar um filtro que verifica se o usuário está logado. Que outro tipo de segurança é necessário numa aplicação web?
[]'s
[quote=Lean]Galera,
Que tipo de segurança vocês implementam em suas aplicações?
A única coisa que eu faço é criar um filtro que verifica se o usuário está logado. Que outro tipo de segurança é necessário numa aplicação web?
[]'s[/quote]
oi,
não basta você validar se o usuário está logado, você tem que validar tb se ele tem permissão de acesso a pagina em questão, validar entrada e saida de dados, validar o tratamento de excessao (nao é legal voce exibir uma excessao na tela do usuario, isso alem de “feio” pode exibir dados confidenciais de acesso ao banco etc), validar tempo de expiração da sessao, evitar ficar trafegando dados sensitivos em cookies ou em url, criptografia
existem dezenas de brechas que podem se usadas
para verificaçoes de permissao, pode-se usar o xml da aplicaçao,
procure no google por:
para solicitaçoes, pode-se usar HTTPS pelo SSL.
valeu galera
vou dar olhada nesse Spring Security pra ver se ele explica bem sobre segurança pra um leigo neste assunto =]
O segredo de tudo é JAAS. Não há porque fazer um monte de invenções se já existe uma API muito boa do próprio Java.
Mas então o que o Spring Security faz q o JAAS nao faz?
Nada. O JAAS faz tudo que o Spring faz e mais um pouco. Além de ser uma API padrão no Java SE.