-1
私はいくつかのユーザーで、すべてのユーザーロール(user_role)に対して1つの役割しか持たないSpring MVCアプリケーションを作成しています。私のアプリケーションで唯一の役割を果たすだけでもSpring Securityを実装する必要があると思いますか?1つの役割のみを持つSpringセキュリティ?
おかげで、
A
答えて
1
セキュリティは(私は彼らがリソースへのアクセスを許可され、ユーザーがどのように知っている与えられた)単純承認以上のものです。幸いにも、Spring Securityは認証以上の簡単な手段を提供します:
セキュリティは認証に関するものでもあります。認証は、ユーザーが誰であるかを安全に識別している(つまり、ユーザー名とパスワードを比較している)。パスワードは安全に保存する(つまり、BCryptを使用する)こと、session fixation attacksから保護すること、timing attacksから保護することなどを覚えておくことを忘れないでください。これらのすべての春のセキュリティは、あなたのためのものです。
は春のセキュリティ(すなわちCSRF、XSS、Content Sniffing、Click Jacking、など)を防ぐことができます攻撃ベクトルのすべての種類があります。これらの保護はすべて自分で実装することができますが、まず攻撃が存在することを知る必要があります(多くはあなたの側で追加の作業なしで保護されています)。次に、アプリケーションを攻撃から保護する方法を理解する必要があります最新の情報)、リストは続けられます。
セキュリティを提供するためには、defense in depthを提供することが重要です。 Spring Securityでは、method based securityとURL based securityを簡単に追加できます。
バイアス質問 – amanuel2