Jakarta ee Java安全框架_Jakarta Ee_Jaas_Java

Jakarta ee Java安全框架

jakarta-ee java

Jakarta ee Java安全框架,jakarta-ee,jaas,java,Jakarta Ee,Jaas,Java,我对Java平台有点陌生。我需要为桌面应用程序和web应用程序使用一些Java安全框架。现在我需要知道，我应该为桌面应用程序（假设为Java SE或Java EE）和web应用程序（假设为JSP）学习哪些框架？有几种可用的框架：春季安全 JAAS JBossSeam安全性（）如果您与Spring一起构建webapplication，我建议您查看Spring安全套件，因为它与其他Spring环境完美集成。JBossSeam还有一些有趣的方法还有一些相关的stackoverflow链接：

我对Java平台有点陌生。我需要为桌面应用程序和web应用程序使用一些Java安全框架。现在我需要知道，我应该为桌面应用程序（假设为Java SE或Java EE）和web应用程序（假设为JSP）学习哪些框架？

有几种可用的框架：

春季安全
JAAS
JBossSeam安全性（）

如果您与Spring一起构建webapplication，我建议您查看Spring安全套件，因为它与其他Spring环境完美集成。JBossSeam还有一些有趣的方法

还有一些相关的stackoverflow链接：

当然：

我假设您正在创建一个总体安全体系结构，管理远程连接和整个系统的其他方面。桌面应用程序安全性和web安全性将有所不同，但仍以各自的方式解决许多相同的问题

其中一些主题将包括身份验证、授权和审核（AAA）、ransit和rest中的数据安全性、不可否认性、传输层安全性、平台安全性（例如，管理平台特权）

最常见的两种Java安全框架是和。这两种方法都涉及上面的许多主题，但它们都是框架——这意味着您需要定义安全体系结构和策略，然后将框架配置/扩展到特定领域

Bouncy Castle提供了一系列现成的加密，包括作为一个兼容的Java加密扩展（JCE）——它也兼容FIPS 140-2，但未经认证。在那些销售认证解决方案的人身上有一个全新的游戏/行业

下面是一个示例—假设您的桌面应用程序将使用带有X.509证书的智能卡来访问web应用程序并与之交互。在这种情况下，您需要处理智能卡的一系列安全问题—PIN、加密等。然后，您可能需要在服务器端使用客户端证书，在服务器端使用X.509身份验证提供程序。您甚至可以根据证书中提供的可分辨名称拥有一些授权例程。您将在上述安全框架中找到信任存储访问、身份验证提供程序、基于角色的访问控制等，但您必须将这些部分组合起来

您可能还想查看@OWASP以了解web安全指南：

如果您负责提供安全解决方案，并从框架入手，我应该告诉您，安全专家/分析师和软件开发人员之间存在知识共享的差距，即告诉您如何利用这些弱点的人通常不是告诉您如何配置Spring安全性或使用JCE API的人

一个体面的缓解策略是研究一些“安全包装器”解决方案，这些解决方案基本上创建了小型飞地，并具有进入飞地的强化/安全入口点。这类产品的一个示例是，它通常用作web服务安全网关

狩猎快乐