草庐IT

securing

全部标签

java - 何时从容器管理的安全性转移到 Apache Shiro、Spring Security 等替代方案?

我正在尝试保护使用JSF2.0构建的应用程序。我很困惑人们什么时候会选择使用Shiro、SpringSecurity或owasp的esapi等安全替代方案而留下容器管理的安全性。看过一些relatedquestions在StackOverflow上,我意识到过去JSF开发人员更喜欢基于容器的安全性。但我也被强烈推荐使用ApacheShiro。我在安全问题方面是新手,不知道可能是什么相关问题以及如何处理它们。因此,我正在寻找能够通过其默认设置/自行处理大多数安全问题的东西。就我的应用程序要求而言,我有一个社交应用程序,其中具有不同角色的用户可以访问不同的页面集,并且可以根据他们的角色在这
从容SecuritysectionShiro容器javajsfjaas

java - 何时从容器管理的安全性转移到 Apache Shiro、Spring Security 等替代方案?

我正在尝试保护使用JSF2.0构建的应用程序。我很困惑人们什么时候会选择使用Shiro、SpringSecurity或owasp的esapi等安全替代方案而留下容器管理的安全性。看过一些relatedquestions在StackOverflow上,我意识到过去JSF开发人员更喜欢基于容器的安全性。但我也被强烈推荐使用ApacheShiro。我在安全问题方面是新手,不知道可能是什么相关问题以及如何处理它们。因此,我正在寻找能够通过其默认设置/自行处理大多数安全问题的东西。就我的应用程序要求而言,我有一个社交应用程序,其中具有不同角色的用户可以访问不同的页面集,并且可以根据他们的角色在这
从容SecuritysectionShiro容器javajsfjaas

IBM收购数据安全初创公司Polar Security,据称交易金额达6000万美元

IBM没有在今天的公告中披露此次交易的财务条款。此前,TechCrunch报道称IBM为PolarSecurity支付了约6000万美元。据报道,这家初创公司被出售并非是因为“缺乏跑道”,而且据信这家公司还引起了Datadog公司的收购兴趣,后者是一家可观察性软件上市公司。位于特拉维夫的PolarSecurity去年因850万美元的种子基金引起了注意。该公司的平台帮助企业扫描他们在公共云环境中的敏感记录,例如客户的信用卡号码。PolarSecurity表示,其算法还可以找到存储在SAAS应用程序中的敏感数据。在摸清一家公司的数据资产后,这家初创公司的平台会标出潜在的网络安全风险。它可以帮助管理
初创据称数据Security公司安全初创企业网络安全

前端安全-内容安全策略CSP(Content Security Policy)

目录CSPxss使用方法http头部设置meta标签设置策略集组成常见指令default-srcreport-uri示例 指令(属性) 指令值(属性值)CSP学习链接 CSP内容安全策略,为了页面内容安全而制定的一系列防护策略。可以通过CSP指定策略来规定页面加载的内容来源(这里的内容可以指脚本、图片、iframe、style等等可能的远程的资源)。也可以理解为以个加载内容的白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行。严格规定页面中有哪些资源,不在指定范围内的统统拒绝。它的实现和执行全部由浏览器完成,开发者只需提供配置。其中指定脚本加载(script-src)可以有效的防止x
安全前端xff指令margin-left前端安全-内容安全策略CSPCSP指令和指令值CSP响应头部设置和标签设置report-urixss跨站脚本攻击

java - Spring Security对用户进行身份验证时如何在 session 中管理自定义用户对象?

当SpringSecurity对用户进行身份验证,它创建一个UserDetail对象,它可用于在web-app中查找当前UserId。但是,假设我想保留一个带有首选项和其他详细信息的自定义用户对象以及UserDetails或替换UserDetails。那么,当SpringSecurity进行身份验证时,如何将自定义用户对象添加到session中成功地?以及当SpringSecurity注销登录用户时如何从session中删除自定义用户对象。或者有没有合适的方法来做到这一点? 最佳答案 执行此IMO的最佳方法是让您的一项服务(可能是U
自定何在sectionSecurityjavaspring-security

java - Spring Security对用户进行身份验证时如何在 session 中管理自定义用户对象?

当SpringSecurity对用户进行身份验证,它创建一个UserDetail对象,它可用于在web-app中查找当前UserId。但是,假设我想保留一个带有首选项和其他详细信息的自定义用户对象以及UserDetails或替换UserDetails。那么,当SpringSecurity进行身份验证时,如何将自定义用户对象添加到session中成功地?以及当SpringSecurity注销登录用户时如何从session中删除自定义用户对象。或者有没有合适的方法来做到这一点? 最佳答案 执行此IMO的最佳方法是让您的一项服务(可能是U
自定何在sectionSecurityjavaspring-security

java - spring security中更新用户权限后如何立即启用权限?

我用的是spring-security框架。当我更新权限时,它不会立即生效。我必须退出当前用户(意味着注销),然后重新访问(意味着登录)才会更新用户的权限。springsecurity中更新用户权限后立即启用权限的方法吗? 最佳答案 您可以在您的AbstractSecurityInterceptor像这样...当然你应该注意,因为99.9%你不需要重新认证。由于身份验证可能使用数据库或其他东西,您的性能可能会降低。但是通常你有一个缓存,比如带有hibernate的2ndLevel,所以每次加载userdetails应该是在所有权限没
securityspringsectionjavaspring-security

java - spring security中更新用户权限后如何立即启用权限?

我用的是spring-security框架。当我更新权限时,它不会立即生效。我必须退出当前用户(意味着注销),然后重新访问(意味着登录)才会更新用户的权限。springsecurity中更新用户权限后立即启用权限的方法吗? 最佳答案 您可以在您的AbstractSecurityInterceptor像这样...当然你应该注意,因为99.9%你不需要重新认证。由于身份验证可能使用数据库或其他东西,您的性能可能会降低。但是通常你有一个缓存,比如带有hibernate的2ndLevel,所以每次加载userdetails应该是在所有权限没
securityspringsectionjavaspring-security

java - 从 Java 调用 .NET Web 服务(WSE 2/3,WS-Security)

我需要从Java调用一个用.NET编写的Web服务。Web服务实现了WS-Security堆栈(WSE2或WSE3,从我掌握的信息中并不清楚)。我从服务提供商那里收到的信息包括WSDL、一个policyCache.config文件、一些示例C#代码和一个可以成功调用服务的示例应用程序。这并不像听起来那么有用,因为我不清楚我应该如何使用这些信息来编写Java客户端。如果Web服务请求未根据策略签名,则它会被服务拒绝。我正在尝试使用ApacheAxis2,但找不到任何关于我应该如何使用policyCahce.config文件和WSDL来生成客户端的说明。我在Web上找到了几个示例,但在所有
WS-SecuritySecuritysectionjava.netaxis2wse

java - 从 Java 调用 .NET Web 服务(WSE 2/3,WS-Security)

我需要从Java调用一个用.NET编写的Web服务。Web服务实现了WS-Security堆栈(WSE2或WSE3,从我掌握的信息中并不清楚)。我从服务提供商那里收到的信息包括WSDL、一个policyCache.config文件、一些示例C#代码和一个可以成功调用服务的示例应用程序。这并不像听起来那么有用,因为我不清楚我应该如何使用这些信息来编写Java客户端。如果Web服务请求未根据策略签名,则它会被服务拒绝。我正在尝试使用ApacheAxis2,但找不到任何关于我应该如何使用policyCahce.config文件和WSDL来生成客户端的说明。我在Web上找到了几个示例,但在所有
WS-SecuritySecuritysectionjava.netaxis2wse
86878889909192