BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

SpringSource的Ben Alex深度剖析应用安全标准

| 作者 Srini Penchikala 关注 34 他的粉丝 ,译者 张龙 关注 12 他的粉丝 发布于 2008年6月10日. 估计阅读时间: 5 分钟 | Google、Facebook、Pinterest、阿里、腾讯 等顶尖技术团队的上百个可供参考的架构实例!

JavaOne 2008大会上,SpringSource的Ben Alex他演讲中谈到了企业应用中的安全需求和标准以及实现这些标准的开源框架。技术会议上,他特别讨论了Servlet安全、Java认证和授权(JAAS)、CAPTCHA、单点登录(SSO)及使用OpenID技术的联合身份( Federated Identity)等安全标准。

Ben的演讲从Servlet、JAAS API的总览以及Servlet 3.0规范(JSR-315)中新添加的诸如登录/注销和自我注册等安全特性开始逐步深入。Ben认为,在设计web应用时应当考虑到下列几个安全问题:

  • 认证
  • 授权
  • 帐户管理
  • 安全审计

由于当前的web开发正逐渐转移到诸如JSFSpring Web FlowJBoss Seam一类的基于组件的web框架上,组件、状态和transition的安全随之变得越来越重要。Spring Web Flow能够提供一个JSF平台模型,并提供状态、流和transition的授权,其中,认证和授权的实现应用到了Spring Security。目前的Spring Security 2集成了基于Java技术的servlet安全和JAAS软件,其最新版本含有一个新的安全命名空间,并支持“Remember me”认证机制。

全自动区分计算机和人类的图灵测试(CAPTCHA)技术有助于缓解DoS(denial of service--拒绝服务)和侵犯知识产权(IP infringement)的安全攻击。CAPTCHA的实现框架有JCaptchareCAPTCHA等,你可以从Google项目上找到支持reCAPTCHA的Java平台(MIT注册许可)。

在SSO领域,Spring Security通过Samba JCIFS支持Microsoft Windows LANs的SSO,并且也支持JA-SIG中心认证服务(CAS)的SSO。目前,Sun、IBM、Microsoft、Google、Yahoo、Flickr、LiveDoor、LiveJournal、Orange和Blogger等很多大公司都支持时下流行的使用OpenID技术的联合身份。Spring Security则通过OpenID4Java框架来实现OpenID的支持。

Ben还谈到了一些高级web安全需求,例如方法层的授权、定义方法安全元数据的JSR-250规格、Spring Security方法元数据以及领域的访问控制等。JSR-250是定义方法层上授权的相关注解的规格说明,它为方法层的授权定义了@RunAs(someRole), @RolesAllowed(someRole), @PermitAll(), @DenyAll(), @DeclareRoles(someRole)等注解,这些注解在方法的参数上同样适用。

Ben的演讲还涉及到web服务(WS-Security)安全化,以及为远程客户端和Web2.0应用定义的RFC Basic(RFC 1945)和Digest(RFC 2617)认证的话题。web services安全化的基础是WSS标准(以前叫做WS-Security),该标准提供了SOAP消息的安全。XWSSMetro项目的一部分)是WSS的Java平台实现,它的3.0版实现了OASIS WSS规范1.1版。Ben还谈到了在web应用中使用JMS消息时的目的地授权。JMS 1.1 API并没有提供消息完整性和隐私性的检测,所以大家都期待JMS供应商能够提供这方面的支持。ActiveMQ消息框架就为授权需求提供了三个方法(read、write和admin)。之后,Ben又讨论了Java EE应用中使用企业服务总线(ESB)时的端点、通道授权和安全调解服务。在关于ESB安全模式的文章中,你可以了解到实现ESB容器时可以考虑的多种设计模式。

Ben在演讲中从简单的web登录表单的安全需求到使用Spring Security框架在Google Web Toolkit(GWT)中实现应用的安全特性,都一一向大家作了现场演示。

查看英文原文:SpringSource's Ben Alex Details Emerging Standards in Application Security

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT