我们正在开发一个项目,该项目有一个 Spring 网站、为第三方客户提供的 Rest Web 服务和我们自己的移动应用程序。 我们计划的架构是为移动应用程序实现资源所有者授予类型,为 Restful Web 服务实现客户端凭据授予。 现在我们要决定在 Spring 网站上使用 Spring security Oauth2 还是传统 Spring security。由于我们从事医疗保健,因此我们更加关注安全性。任何人都可以向我建议该网站的最佳实施方案,以克服以下链接中提到的安全风险 https://www.owasp.org/index.php/Top_10_2013-Top_10
非常感谢。
【问题讨论】:
标签: spring spring-security oauth-2.0 spring-security-oauth2
您绝对可以使用Spring Security 来寻址OWASP defects。可以写很多Custom Filters,会添加到springSecurityFilterChain中。
请参阅这篇文章以了解如何编写自定义过滤器。
How to write a custom filter in spring security?
请查看以下 Spring 安全模块的 OWASP 缺陷列表 将解决:
1.使用此自定义过滤器,您可以处理Cross Site Scripting 问题,它会escape all the unwanted script tags。
2.Spring Security 的加密模块提供了必要的加密功能,将解决OWASP's Sensitive Data Exposure defect。
3. 借助 Spring security 的授权机制,它将解决
OWASP 的Insecure Direct Object References 缺陷
【讨论】: