Javaセキュリティフレームワーク

Question

私はJavaプラットフォームの新種です。デスクトップアプリケーションとWebアプリケーションの両方のJavaのセキュリティフレームワークで作業する必要があります。今では、デスクトップアプリケーション（Java SEやJava EEの場合）とWebアプリケーション（JSPの場合）についてどのフレームワークを学習する必要があるのですか？

Answer 1

いくつかのフレームワークが利用可能であります。

• 春のセキュリティ
• JAAS
• のJBoss Seamのセキュリティ（http://docs.jboss.org/seam/2.2.2.Final/reference/en-US/html_single/#security）

あなたは春と一緒にwebアプリケーションを構築する場合、私は見てお勧めしますSpring Securityスイートでは、他のSpring環境と完全に統合されています。また、JBoss Seamにはいくつか興味深いアプローチがあります。

また、いくつかの関連stackoverflowのリンク：

• Java Security Framework

そしてもちろん：

• http://www.google.ch/search?sourceid=chrome&ie=UTF-8&q=java+security+frameworks

Answer 2

私はあなたが包括的なSを作成していると仮定遠隔接続を管理し、システム全体の他の側面を管理します。デスクトップアプリケーションのセキュリティとWebセキュリティは異なっているでしょうが、それでも自分のやり方で多くの同じ問題を解決します。

認証、認可、監査（AAA）、転送中および休止中のデータセキュリティ、否認防止、トランスポート層セキュリティ、プラットフォームセキュリティ（プラットフォーム特権の管理など）が含まれます。

最も一般的なJavaセキュリティフレームワークは、Spring SecurityとApache Shiroです。上記のいくつかのトピックに対処していますが、それらはフレームワークです。つまり、セキュリティアーキテクチャとポリシーを定義し、フレームワークを特定のドメインに構成/拡張する必要があります。

Bouncy Castleは、準拠のJava Cryptography Extension（JCE）を含む、シェルフ暗号の束を提供します。これはFIPS 140-2にも準拠していますが、認定されていません。認定されたソリューションを販売している企業には、まったく別のゲーム/業界があります。

ここでは、デスクトップアプリケーションがX.509証明書付きのスマートカードを使用してアクセスし、Webアプリケーションとやりとりするとします。その場合、スマートカードにはPIN、暗号化などのセキュリティがあります。サーバー側ではクライアント証明書を使用し、サーバー側ではX.509認証プロバイダーを使用します。その場合でも、証明書に指定された識別名に基づいていくつかの認可ルーチンを使用することができます。上記のセキュリティフレームワーク内では、トラストストアアクセス、認証プロバイダ、ロールベースのアクセス制御などがありますが、それらを一緒に置く必要があります。

ます。また、Webセキュリティのガイドラインについては、見ての@ OWASPをしたいことがありますが、セキュリティソリューションを提供するための責任がある場合https://www.owasp.org/index.php/Main_Page

、あなたがフレームワークを見て始めている、私はあなたの頭を与える必要がありますセキュリティ専門家/アナリストとソフトウェア開発者の知識共有のギャップがあるということです。つまり、弱点を悪用する方法を教えてくれる人たちは、通常、Spring Securityの設定方法やJCE API 。

適切な緩和戦略は、セキュリティ/セキュリティ保護されたエントリポイントを持つ小さなエンクレーブを本質的にエンクレーブに作成する「セキュリティラッパー」ソリューションの一部を見ていくことです。このような製品の例は、Layer-7で、これはWebサービスセキュリティゲートウェイとしてよく使用されます。

ハッピーハンティング！