Cześć, piszę mała aplikację w oparciu o Spring MVC, chciałbym w jakiś sposób ją zabezpieczyć. Zrobiłem już panel logowania.
Czy jest coś jeszcze dodatkowego czym mógłbym zabezpieczyć aplikację ? Robię to w celach edukacyjnych a później jeśli wszystko ładnie wyjdzie to chciałbym dodać to do swojego cv.
0
1
Oczywiście, że jest i to wiele.
Po pierwsze musisz włączyć Spring Security.
Ustawić sposób uwierzytelniania za pomocą twojej strony logowania (milion tutoriali w necie).
Przemyśleć jakie role mają twoi użytkownicy.
Zdefiniować zasady autoryzacji. Czyli jaka rola ma dostęp do jakiego zasobu. Najlepiej to robić na zasadzie blokuję wszystko, a następnie dodaję wyjątki, ponieważ inaczej istnieje ryzyko, że przy dodawaniu nowych stron będą one niezabezpieczone.
Dodatkowo przejrzyj sobie OWASP Top 10:
- Sprawdź czy nie kleisz zapytań SQL ręcznie. Wykorzystuj tylko PreparedStatements, NamedQueries lub Springa Data Repositories.
- Dodaj token anty CSRF. Każdy formularz powinien mieć ukryte pole z tokenem. (Tutorial do Spring Security powinien to zawierać)
- Ustaw nagłówki CSP anty XSS. Już nie pamiętam czy to się robi filtrem, czy jest opcja w SpringSecurity.
0
A w jakis sposób mogę zrobić, żeby dodać np: dwie role i jeżeli uwierzytelnimy usera to pojawi się widok związany z userem a nie przykładowo z adminem.
0
Możesz użyć authentication success handlera: http://www.baeldung.com/spring_redirect_after_login
0
Chciałbym się podłączyć aby nie zaśmiecać forum. A jak rozwiązać kwestie bezpieczeństwa w aplikacjach desktopowych? Np. aplikacja w oparciu o JavaFx?
Można użyć do tego spring security? Przecież jest wiele systemów erp itd które są aplikacjami nie webowymi i mają podzielone role itd. Czy to wszystko, autoryzacja itd odbywa się na poziomie biznesowej bazy danych a widok to już jest inna kwestia? Chociaż właśnie nasuwa mi się pytanie, jeden widok może być widziany np. admina a przez innego usera już nie..