Strutsで利用可能なセキュリティ機能は何ですか?
質問
Webアプリケーションの開発を担当し、Strutsフレームワークを使用することを考えています。これは標準のようで、実装が簡単です。
ただし、決定を下す前に、Strutsで利用可能なセキュリティ機能を知る必要があります。
Strutsを使用して OWASPトップ10 を処理する効果的な方法はありますか? もしそうなら、どのようにそれを達成しますか?
解決
StrutsはMVCフレームワークを提供するためのものであり、セキュリティ機能が制限されています。ロールをアクションにマップできます。 Spring Security (以前はAcegi)。
他のヒント
ストラットのOWASPトップ10を処理する最良の方法は、OWASP Enterprise Security APIを調べることです...
YCが言及している機能についても、Struts構成ファイルをそのまま使用して、アクションのACLをセットアップすることは望ましくないでしょう。 Strutsアクションに到達する前に、ActionServletから出るときにHttpRequestの状態をプログラムで検査する方がよい場合があります(つまり、このHttpRequestは、URLが指定された認証および承認されたユーザーから来ていますか?)または、ServletFilterを使用してリクエストをインターセプトすることもできますが、スレッドセーフであることを確認する必要があります。
所属していません StackOverflow