web系統安全性的考慮
有以下幾個方面:
1.
登陸驗證碼。利用乙個servlet隨機產生乙個驗證碼,由於驗證碼是機器隨機產生的,因此暴力破解程式無法預料到具體是什麼,所以可以防止暴力破解。
2.
登陸身份驗證。系統的每個功能都必須經過身份驗證後才能訪問,沒有認證的請求會被過濾掉,這是最基本的安全要求:
1,
所有功能都通過struts的action來進行訪問,不直接以jsp的形式向使用者提供功能訪問,這樣一方面可以防止向使用者暴露程式的資源名稱,另一方面也可更方便的進行許可權控制。
2,
對struts的actionservlet設定filter,利用該filter來檢查使用者的許可權,這樣既可以防止使用者登陸後跨url訪問。
3.
防止擾過許可權認證的直接資源訪問。雖然前面的設計中,已經要求所有的功能都通過struts的action來進行訪問,但是還是不能排除惡意使用者可能會知道程式資源名稱(jsp檔案),如果這類使用者直接輸入jsp檔案的url訪問,有可能會對系統形成威脅。因此需要禁止所有使用者發起的直接資源訪問。通常以這種方式來實現:在web應用中建立乙個從不使用的角色:neverusedrole,將所有的jsp資源檔案配置為必須具有neveruserrole才能訪問。由於根本沒有任何使用者可以成為該角色。由於根本沒有任何使用者可以成為該角色,所以也就無法對該角色對應的資源直接訪問。
系統安全性設計
系統安全性設計可以劃分為如下幾個層次 程式設計安全性 程式部署及作業系統安全性 資料庫安全性 網路安全性 物理安全性 就程設計的安全性,針對現在大多系統的分布式結構,因為同時要面向不同地理位置,不同網路位址,不同級別,不同許可權的使用者提供服務,稍不留神就可能產生潛在的安全隱患,如下是最常見的由設計...
關於j2ee web開發的一些疑問
最近看了一些關於開發方法的知識,但沒有在實際專案中運用過。有很多的疑問,希望大家能幫忙指點一下啊。我是搞j2ee web開發的,一直很迷茫的就是開發時,這個持久層是在什麼時候去做的啊,是一開始就搞好呢,還是也會循序漸進的去做啊。我們以前一直的做法是是需求分析完了,然後在建立實體關係,由此建立實體關係...
如何提高Linux系統安全性
1 取消不必要的服務 早期的unix版本中,每乙個不同的網路服務都有乙個服務程式在後台執行,後來的版本用統一的 etc inetd伺服器程式擔此重任。inetd是internetdaemon的縮寫,它同時監視多個網路埠,一旦接收到外界傳來的連線資訊,就執行相應的tcp或udp網路服務。由於受inet...