Quelles fonctionnalités de sécurité sont disponibles dans Struts?
Question
Je suis chargé de développer une application Web et envisage d'utiliser le cadre Struts, qui semble être un standard et qui est facile à mettre en œuvre.
Cependant, avant de prendre une décision, je dois connaître les fonctions de sécurité disponibles dans Struts.
Existe-t-il des moyens efficaces de gérer le OWASP en utilisant Struts? Et si oui, comment pourrais-je l'accomplir?
La solution
Struts est là pour vous proposer un framework MVC et ses fonctionnalités de sécurité sont limitées, par exemple. vous pouvez associer des rôles à des actions. Je vous recommanderai d'explorer quelque chose de plus complet, tel que la Sécurité de printemps ( anciennement Acegi).
Autres conseils
La meilleure façon de gérer le top dix OWASP dans ses tâches consiste à examiner l'API de sécurité d'entreprise OWASP ...
Même pour les fonctionnalités mentionnées par YC, vous ne souhaiterez probablement pas utiliser un fichier de configuration Struts prêt à l'emploi pour configurer les listes de contrôle d'accès pour vos actions. Il peut être préférable d’examiner par programme l’état de la requête HttpRequest lorsqu’il sort du ActionServlet, avant d’atteindre vos actions Struts (c’est-à-dire si cette requête HttpRequest provient d’un utilisateur authentifié et autorisé, à partir de l’URL?). Vous pouvez également intercepter la requête avec un ServletFilter, mais vous devez vous assurer que son thread est sécurisé.