Весенняя безопасность OAuth2 для весеннего веб-сайта

Мы работаем над проектом, в котором есть сайт Spring, веб-сервисы Rest для сторонних клиентов и собственные мобильные приложения.
Архитектура мы планируем реализовать тип Гранта владельца ресурса для мобильного приложения, грант учетных данных клиента для веб-служб Restful.
Теперь мы хотим принять решение об использовании Spring security Oauth2 или традиционной Spring security для веб-сайта Spring. Поскольку мы занимаемся здравоохранением, нас больше беспокоит безопасность. Может ли кто-нибудь предложить мне лучшую реализацию для веб-сайта для преодоления рисков безопасности, упомянутых ниже по ссылкеhttps://www.owasp.org/index.php/Top_10_2013-Top_10

Большое спасибо.

1 ответ

  1. Вы можете определенно пойти на Spring Securityдля адресации OWASP defects. Вы можете написать в много из Custom Filtersкоторых будут добавлены в springSecurityFilterChain.

    Пожалуйста, ознакомьтесь с этим сообщением, чтобы получить представление о том, как писать пользовательские фильтры.

    Как написать пользовательский фильтр в spring security?

    Пожалуйста см. список дефектов OWASP под которым модуль обеспеченностью весны
    будет рассмотреть:

    1.С помощью этих пользовательских фильтров вы можете решать Cross Site Scriptingпроблемы таким образом, что это будетescape all the unwanted script tags.

    2.Модуль Spring Security crypto предоставляет необходимые возможности криптографии, которые будут адресованы OWASP's Sensitive Data Exposure defect.

    3.с механизмом утверждения обеспеченностью весны он адресует
    Insecure Direct Object ReferencesДефект OWASP