我们想使用apikey来保护我们的restapi。以下是要求:面向公众的服务需要APIkey。“私有(private)”服务只能接受来自集群内部的调用，不是外面的世界。每个api标识一个用户，用户对象必须对其余服务。在JAX-RS应用程序中是否有一些标准方法可以做到这一点？(我们正在使用Resteasy。)我已经阅读了所有关于过滤器、拦截器和基本身份验证的内容，但我不清楚什么是最好的方法。在早期版本的应用程序中，我们有一个自己动手的解决方案，其中公共(public)服务在公共(public)端口上运行，私有(private)服务在私有(private)端口上运行。有一个自定义apike

我正在运行一个基于JavaSpringMVC的Web应用程序。它还基于Hybris平台。现在，身份验证和授权方面的基本功能已经实现。这意味着我们确实有session过滤器、有效的用户系统等。但是，我们目前没有针对XSS和其他可能存在的攻击类型的安全措施。XSS可能是最大的问题，因为它是最常见的攻击方式。现在，我想知道......采取哪些步骤是明智的？我环顾四周，发现存在XSS-Filter之类的东西。实现这样非常简单，只需复制源代码并将其添加为tomcatsweb.xml。但我想知道这样的过滤器是否能提供令人满意的安全性？还有更多臃肿的解决方案，例如我可以使用spring-securi

我正在使用Liferay和eclipse，并使用加密套接字(SSL)运行客户端/服务器模型。目前，当我以批处理模式运行应用程序时，我的应用程序运行客户端/服务器连接正常，但是当我尝试在Eclipse中启动服务器时，应用程序出现错误javax.net.ssl.SSLHandshakeException:sun.security.validator.ValidatorException:PKIXpathbuildingfailed:sun.security.provider.certpath.SunCertPathBuilderException:unabletofindvalidcert

我目前正在使用的系统需要一些基于角色的安全性，这在JavaEE堆栈中得到了很好的满足。该系统旨在成为业务领域专家在其上编写代码的框架。但是，对数据安全也有要求。即，最终用户可以看到哪些信息。这实际上意味着降低对数据库中行(甚至可能是列)的可见性。我们使用Hibernate来实现持久化。但是，我们正在使用自己的注释，以免将我们的持久性选择暴露给业务领域专家。对于基于行的安全性，这意味着我们可以在实体级别添加诸如@Secured之类的注释，这会导致将额外的列添加到基础表中以限制我们的选择？对于基于列的安全性，我们或许可以使用@Secured来协助生成查询，或者使用方面来过滤返回的信息？我很

我需要为我的EJB中的keystore提供密码，但我不希望它对开发人员可见。我的想法是在Websphere控制台中创建身份验证别名，然后查找MY_ALIAS并从别名获取密码。我在以下位置找到了一些与主题相关的讨论:http://www.coderanch.com/t/79439/Websphere/Authentication-Data有人知道可以查找别名吗？您建议使用什么方法来实现我的目标？非常感谢! 最佳答案 您可以使用以下代码从J2C身份验证数据条目中获取凭据:importcom.ibm.wsspi.security.auth

所以我现在已经在WS-Security上苦苦挣扎了一段时间，慢慢地取得了进展。首先让我简要描述一下我的设置。我有一个在tomcat中运行的Java应用程序，它提供了一个web服务端点(使用Spring)。我希望对传入的消息进行签名。我正在使用SoapUI进行测试。因此，经过长时间的努力，我得到了服务器检查传入消息的签名，我还得到了SoapUI，可以对传出消息进行签名。但是，服务器一直拒绝证书，我不确定我哪里做错了，即我是否在测试请求中发送了错误的证书信息，或者我是否没有在信任库中正确维护证书。以下是一个请求示例:2011-06-30T12:51:33.407Z2011-06-30T12

我得到了主机名错误的异常。我已经使用了thiscode(从某个链接获得)在我的程序中。我的程序运行良好。我的问题是它足够安全吗？(因为它不验证证书链)publicclassHost{publicStringsubscribe()throwsException{Stringresp="";StringurlString="https://xxx.xxx.xx.xx:8443/WebApplication3/NewServlet";URLurl;URLConnectionurlConn;DataOutputStreamprintout;DataInputStreaminput;String

我正在使用jbcrypt对项目中的密码进行哈希处理。在我使用的硬件上验证密码时，性能约为500毫秒(log_rounds设置为12)。然而，在正常使用一段时间后，性能时间突然下降到惊人的15秒。下降非常突然，没有累积，并且在过程重新启动之前保持不变。分析显示额外的时间用在了key(..)方法中。来源:http://jbcrypt.googlecode.com/svn/tags/jbcrypt-0.3m/src/main/java/org/mindrot/jbcrypt/BCrypt.java该方法仅使用xor、and、shift等基本函数计算哈希，没有对象分配、外部资源使用、随机数生成

我有一个使用SpringSecurity保护的SpringMVCWeb应用程序，我正在编写测试。我正在努力让SpringSecurity在其SecurityContextHolder中检索我的一个(自定义)用户。一旦我的用户被“插入”(java配置):auth.inMemoryAuthentication().getUserDetailsService().createUser(myCustomUser);然后我可以创建相关token(一个UsernamePasswordAuthenticationToken)并要求Spring使用此token对我的用户进行身份验证。问题是Spring

我正在尝试使用ApacheHttpClientJava库对使用基于表单的身份验证的网站(例如，facebook.com)进行身份验证。使用此网站的程序作为主要示例:http://www.elitejavacoder.com/2013/10/http-client-form-based-authentication.html，我能够做到这一点-但有些事情我对该程序不了解。这是代码:packagecom.elitejavacoder.http.client;importjava.util.ArrayList;importjava.util.List;importorg.apache.htt