Spring 网站的 Spring Security Oauth2

Posted 2023-02-27

【中文标题】Spring 网站的 Spring Security Oauth2

【英文标题】：Spring Security Oauth2 for Spring Website

【发布时间】：2016-09-21 20:17:17

【问题描述】：

我们正在开发一个项目，该项目有一个 Spring 网站、为第三方客户提供的 Rest Web 服务和我们自己的移动应用程序。 我们计划的架构是为移动应用程序实现资源所有者授予类型，为 Restful Web 服务实现客户端凭据授予。 现在我们要决定在 Spring 网站上使用 Spring security Oauth2 还是传统 Spring security。由于我们从事医疗保健，因此我们更加关注安全性。任何人都可以向我建议该网站的最佳实施方案，以克服以下链接中提到的安全风险 https://www.owasp.org/index.php/Top_10_2013-Top_10

非常感谢。

【参考方案1】：

您绝对可以使用Spring Security 来寻址OWASP defects。可以写很多Custom Filters，会添加到springSecurityFilterChain中。

请参阅这篇文章以了解如何编写自定义过滤器。

How to write a custom filter in spring security?

请查看以下 Spring 安全模块的 OWASP 缺陷列表 将解决：

1.使用此自定义过滤器，您可以处理Cross Site Scripting 问题，它会escape all the unwanted script tags。

2.Spring Security 的加密模块提供了必要的加密功能，将解决OWASP's Sensitive Data Exposure defect。

3. 借助 Spring security 的授权机制，它将解决 OWASP 的Insecure Direct Object References 缺陷