9月7日-8日,相约 2023 腾讯全球数字生态大会!聚焦产业未来发展新趋势! 了解详情
写点什么

SpringSource 的 Ben Alex 深度剖析应用安全标准

  • 2008-06-09
  • 本文字数:1374 字

    阅读完需:约 5 分钟

JavaOne 2008 大会上,SpringSource 的 Ben Alex 他演讲中谈到了企业应用中的安全需求和标准以及实现这些标准的开源框架。技术会议上,他特别讨论了Servlet 安全、Java 认证和授权( JAAS )、 CAPTCHA 、单点登录( SSO )及使用 OpenID 技术的联合身份( Federated Identity)等安全标准。

Ben 的演讲从 Servlet、JAAS API 的总览以及 Servlet 3.0 规范( JSR-315 )中新添加的诸如登录 / 注销和自我注册等安全特性开始逐步深入。Ben 认为,在设计 web 应用时应当考虑到下列几个安全问题:

  • 认证
  • 授权
  • 帐户管理
  • 安全审计

由于当前的 web 开发正逐渐转移到诸如 JSF Spring Web Flow JBoss Seam 一类的基于组件的 web 框架上,组件、状态和 transition 的安全随之变得越来越重要。Spring Web Flow 能够提供一个 JSF 平台模型,并提供状态、流和 transition 的授权,其中,认证和授权的实现应用到了 Spring Security 。目前的 Spring Security 2 集成了基于 Java 技术的 servlet 安全和 JAAS 软件,其最新版本含有一个新的安全命名空间,并支持“ Remember me ”认证机制。

全自动区分计算机和人类的图灵测试(CAPTCHA)技术有助于缓解 DoS(denial of service--拒绝服务)和侵犯知识产权(IP infringement)的安全攻击。CAPTCHA 的实现框架有 JCaptcha reCAPTCHA 等,你可以从 Google项目上找到支持reCAPTCHA 的Java 平台(MIT 注册许可)。

在SSO 领域,Spring Security 通过 Samba JCIFS 支持 Microsoft Windows LANs 的 SSO,并且也支持 JA-SIG 中心认证服务( CAS )的 SSO。目前,Sun、IBM、Microsoft、Google、Yahoo、Flickr、LiveDoor、LiveJournal、Orange 和 Blogger 等很多大公司都支持时下流行的使用 OpenID 技术的联合身份。Spring Security 则通过 OpenID4Java 框架来实现 OpenID 的支持。

Ben 还谈到了一些高级 web 安全需求,例如方法层的授权、定义方法安全元数据的 JSR-250 规格、Spring Security 方法元数据以及领域的访问控制等。JSR-250 是定义方法层上授权的相关注解的规格说明,它为方法层的授权定义了 @RunAs(someRole), @RolesAllowed(someRole), @PermitAll(), @DenyAll(), @DeclareRoles(someRole) 等注解,这些注解在方法的参数上同样适用。

Ben 的演讲还涉及到 web 服务(WS-Security)安全化,以及为远程客户端和 Web2.0 应用定义的 RFC Basic(RFC 1945)和 Digest(RFC 2617)认证的话题。web services 安全化的基础是 WSS 标准(以前叫做 WS-Security),该标准提供了 SOAP 消息的安全。 XWSS Metro 项目的一部分)是 WSS 的 Java 平台实现,它的 3.0 版实现了 OASIS WSS 规范 1.1 版。Ben 还谈到了在 web 应用中使用 JMS 消息时的目的地授权。 JMS 1.1 API 并没有提供消息完整性和隐私性的检测,所以大家都期待 JMS 供应商能够提供这方面的支持。 ActiveMQ 消息框架就为授权需求提供了三个方法(read、write 和admin)。之后,Ben 又讨论了Java EE 应用中使用企业服务总线(ESB)时的端点、通道授权和安全调解服务。在关于ESB安全模式的文章中,你可以了解到实现ESB 容器时可以考虑的多种设计模式。

Ben 在演讲中从简单的 web 登录表单的安全需求到使用 Spring Security 框架在 Google Web Toolkit( GWT )中实现应用的安全特性,都一一向大家作了现场演示。

查看英文原文: SpringSource’s Ben Alex Details Emerging Standards in Application Security

活动推荐:

2023年9月3-5日,「QCon全球软件开发大会·北京站」 将在北京•富力万丽酒店举办。此次大会以「启航·AIGC软件工程变革」为主题,策划了大前端融合提效、大模型应用落地、面向 AI 的存储、AIGC 浪潮下的研发效能提升、LLMOps、异构算力、微服务架构治理、业务安全技术、构建未来软件的编程语言、FinOps 等近30个精彩专题。咨询购票可联系票务经理 18514549229(微信同手机号)。

2008-06-09 16:03390
用户头像

发布了 88 篇内容, 共 254.9 次阅读, 收获喜欢 6 次。

关注

评论

发布
暂无评论
发现更多内容

万物皆可集成系列:低代码释放用友U8+深度价值(3)— 数据融合应用

葡萄城技术团队

【数据结构实践】手把手带你简单实现Python自定义栈

迷彩

数据结构 算法 堆栈 8月月更

李小龙的话道出了移动端“小程序化”的核心——似水无形

FinClip

《中国车联网TSP行业发展洞察2022》案例征集

易观分析

车联网 案例征集

ARM 内核寄存器 和 基本汇编语言讲解

矜辰所致

汇编语言 8月月更 ARM内核 内核寄存器

一次纯线上接口异常的排查过程

南城FE

node.js 前端

喜报 | 博睿数据两项发明专利获得国家知识产权局授权,累计发明专利11项

博睿数据

APM 可观测性 博睿数据 智能运维AIOps 发明专利

C#/VB.NET:删除PDF文档中的页面

Geek_249eec

C# VB.NET 删除PDF页面

腾讯云数据安全中台保护方案获“首届全国商用密码应用优秀案例”

腾讯安全云鼎实验室

云安全

最新首发!这份 Github 星标 8K 的 Redis 高级笔记真是yyds

了不起的程序猿

Java redis JAVA开发 java程序员

元宇宙的未来商机和应用

智捷云

MySQL基础笔记

楠羽

#开源

浅聊一下邮件通知的批量推送

为自己带盐

dotnetcore 8月月更 邮件发送

Python自学笔记6-列表有哪些常用操作

和牛

Python 测试 8月月更

在公司内部,做了一次 HTTP(S) 的分享

程序员小毕

程序员 面试 程序人生 https 计算机网络

「Java」本地文件上传下载预览

价投小邱

文件 下载 文件上传 #java

如何用文字让 ta 动心?

图灵教育

如果重新学计算机

价投小邱

Linux 计算机网络 操作系统

如何用文字让 ta 动心?

图灵社区

Shuttle + Alluxio 加速内存Shuffle起飞

Alluxio

开源 OPPO Alluxio spark SQL 8月月更

追一科技携手华为云助力中小企业数字化,Face虚拟数字人亮相828企业节

sofiya

招行架构师徐佳航:金融云原生与开源标准的共同生长

阿里巴巴云原生

阿里云 开源 容器 云原生 KubeVela

商派oneX新零售系统上架华为云云商店,首次参与“828企业节”

神奇视野

Java更改 PDF 页面大小

在下毛毛雨

Spark Optimizer 规则下的 BUG 排查与修复全记录

观远数据

saprk

“中国建筑业竞争力百强”中化二建如何做知识管理?

sofiya

DevSecOps | 极狐GitLab 动态应用程序安全测试(DAST)使用指南

极狐GitLab

DevOps gitlab 运维 测试 CI/CD

4 天 7 条 PR,80% 代码覆盖率,开源是「内卷」还是修炼?

腾源会

开源 腾源会 开源摘星计划

“小程序化”如何助力智慧产业园区建设破题?

FinClip

开发制作数字藏品app原理

开源直播系统源码

NFT 数字藏品 数字藏品开发 数字藏品系统

世界人工智能大会阿里巴巴专场论坛《数字时代的技术责任》来了!

阿里技术

  • 扫码添加小助手
    领取最新资料包
SpringSource的Ben Alex深度剖析应用安全标准_Java_Srini Penchikala_InfoQ精选文章