Closed.Thisquestionneedstobemorefocused。它当前不接受答案。想要改善这个问题吗？更新问题，使它仅关注editingthispost的一个问题。5年前关闭。Improvethisquestion我们正计划构建一个需要高度安全的Web应用程序，因为大量金钱和声誉受到威胁。因此，我正在寻找有助于实现这一目标的工具和技术。这些工具和技术应有助于防止SQL注入(inject)，跨站点脚本漏洞，远程代码执行等问题。我们的团队对此类漏洞有扎实的知识。但是每个开发人员都会犯错误，而且简单的错误不应导致安全漏洞。Web应用程序框架，应用程序服务器，编程语言，安全性库

我在尝试从浏览器的oauth/token获取token时遇到问题。我有一个带有SpringSecurity和SpringSecurityoauth的SpringBoot应用程序，我正在尝试从不同端口的javascriptSPA进行身份验证。当后端禁用CORS时，我可以使用Postman或终端从oauth端点毫无问题地获取token，但我无法从javascript获取它们，因为CORS预检失败。如果我启用CORS，预检成功，但现在我得到一个InsufficientAuthenticationException说“没有客户端身份验证。尝试添加适当的身份验证过滤器”。据我所知，那是因为Spr

在JavaServletAPI中，如何保证某人的sessionid不被盗用？例如，如果我有一个Activitysession并且有人以某种方式获得了我的sessionID，他们可以使用它吗？ 最佳答案 没有什么能阻止它。获取sessionID，即可参与session。在通常的cookie情况下，这本身并不是风险。攻击者不应该能够读取用户的sessioncookie，除非:他们有中间人能力，在这种情况下，您遇到的问题比sessionID更严重；您留下了一个跨站点脚本漏洞，在这种情况下，您遇到的问题比sessionID问题要严重得多；您

我的springboot应用程序中存在csrftoken问题。我有一个可以编辑人物的表单。一个人可以拥有现在让我们想象这个人有一辆车，然后输入并存储它。下次他要删除这辆车并输入另一辆车。我已经创建了它，以便有一个包含他所有汽车的列表——他可以选择将其从列表中删除。现在我从这些药丸开始，想用相应的ID向服务器发送一个POST。当我尝试时，我得到了403禁止，我不知道为什么。如果我从POST更改为GET，那么它就可以工作。我的JavaScript(取自本站:http://docs.spring.io/autorepo/docs/spring-security/4.0.0.CI-SNAPSH

我正在尝试使用带有自定义AuthenticationProvider的springsecurity实现表单登录。我正在使用:Spring-4.1.1.RELEASESpring安全-3.2.5.RELEASETomcat7安全上下文.xml-->我正在实现我的自定义AuthenticationProvider:publicclassReportsAuthenticationProviderimplementsAuthenticationProvider{privatestaticfinalLoggerlogger=LoggerFactory.getLogger(ReportsAuthe

如果我必须编写自己的{whatever}LoginModule和其他一切，JAAS有什么意义？ 最佳答案 JAAS在您的应用程序和底层身份验证机制之间提供了一个抽象层。因此，您可以更改应用程序使用的身份验证机制，而无需更改任何应用程序代码。 关于java-JAAS有什么意义，我们在StackOverflow上找到一个类似的问题： https://stackoverflow.com/questions/673355/

我们正在使用带有springsecurity的springboot来实现一个查询接口(interface)。我想要做的是只允许每个用户一次运​​行固定数量的查询。查询可能需要很长时间，用户发送重复请求的速度可能快于我们的响应速度。我希望Controller一次只计算一个子集请求，并且我必须实现一些逻辑来确定要响应哪些请求。为此，我需要知道给定用户的sessiontoken。有没有一种简单的方法可以在Controller的方法中获取它？ 最佳答案 如果你想在Controller中获取sessionId，你可以使用RequestCont

最近我使用以下类将SpringSecurity添加到我的SpringBoot项目中:@EnableWebSecurity@EnableGlobalMethodSecurity(prePostEnabled=true)publicclassMySecurityConfig{}因此，默认情况下，我的所有URL现在都受到身份验证和自行生成的密码的保护。问题是我用于对Controller进行单元测试的@WebMvcTest类中的所有测试:@RunWith(SpringRunner.class)@WebMvcTest(SomeController.class)publicclassSomeCon

我无法理解为什么Java安全编码很重要。例如，为什么声明变量私有(private)很重要？我的意思是我知道这将使得无法从类外部访问这些变量，但我可以简单地反编译类以获取值。同样，将一个类定义为final将无法子类化该类。什么时候对一个类进行子类化对安全性是危险的？同样，如果有必要，我可以反编译原始类并使用我想要的任何恶意代码重新实现它。当用户“信任”应用程序时是否会出现问题？然后人们可以以某种方式滥用这种信任？基本上我正在寻找的是一个很好的例子，说明为什么应该遵循安全编码指南。 最佳答案 编程很难。如果您定义严格的API，不公开不应

我已经关注了很多线程来为我的restAPI实现SpringSecurity。最初我卡在@Secured注释被忽略，现在我解决了这个问题，我卡在访问被拒绝。感觉我的问题听起来很像:@securedwithgrantedauthoritiesthrowsaccessdeniedexception-但我仍然被拒绝访问。这是我的设置:spring-security.xmlController:@Controller@RequestMapping("/secure")publicclassSecureController{privatestaticfinalLoggerlogger=Logger