是否有一个Java Web框架使用Java的安全管理器来实现细粒度的安全
发布时间:2020-12-15 02:27:01 所属栏目:Java 来源:网络整理
导读:在标准的webapp设置中,所有代码都以相同的权限运行.最好是遵循 principle of least privilege,而Java的安全管理器(“沙盒”)理论上应该可以实现. 我想象一个设置,其中webapp中的代码包含一个“前端”,其代码有权仅执行允许登录用户执行的操作,以及一个以更高
|
在标准的webapp设置中,所有代码都以相同的权限运行.最好是遵循
principle of least privilege,而Java的安全管理器(“沙盒”)理论上应该可以实现.
我想象一个设置,其中webapp中的代码包含一个“前端”,其代码有权仅执行允许登录用户执行的操作,以及一个以更高权限和强制执行的“后端”对“前端”代码的限制.然后模板和大部分控制逻辑将成为权限较低的“前端”代码的一部分,从而限制了攻击者可能危及安全性的方式. 这已经完成了吗?它已经是任何常用Web框架的一部分吗? 解决方法
我认为Kohsuke的
Stapler框架使用(或可以使用)Java安全管理器,但我目前找不到这方面的参考. Stapler框架很棒(它主要由Hudson / Jenkins使用)但是它的文档非常不完整.
(编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |