gpt4 book ai didi

security - 需要通过带有 spring security 的 https 进行身份验证吗?

转载 作者:行者123 更新时间:2023-11-28 21:54:35 25 4
gpt4 key购买 nike

我使用的是 tomcat 6、spring mvc 3.0.0 和 spring security 3.0.0,由于我存储在数据库中的密码是经过 sha1 哈希处理的,所以我无法使用摘要式身份验证 (section 9.2.1 of the documentation spells that out)。因此,我需要通过 https 进行身份验证。

由于潜在的处理开销,我希望将尽可能多的流量保留在常规 http 中。有没有办法让 spring 对未经验证的请求使用 https,然后在身份验证完成后使用 http?我认为这是通过某种 ChannelProcessingFilter 完成的,但我对细节感到困惑。

这是我目前的 application-security.xml 文件:

<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.0.xsd">

<http use-expressions="true">
<intercept-url pattern="/**" access="isAuthenticated()" />
<http-basic />
</http>

<authentication-manager>
<authentication-provider user-service-ref="myUserDetailsService">
<password-encoder hash="sha"/>
</authentication-provider>
</authentication-manager>

<beans:bean id="myUserDetailsService"
class="path.to.myUserDetailsServiceImpl">
</beans:bean>

</beans:beans>

感谢您的帮助。

最佳答案

如果您在任何时候通过 HTTP 传递 session ID,您就违反了 OWASP A9 .如果攻击者拥有 session ID,则他不需要密码。我不会在您的应用程序中实现此功能,https 非常轻巧,我认为您应该考虑在不意味着您的客户会被黑客攻击的地方节省资源。

关于security - 需要通过带有 spring security 的 https 进行身份验证吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3673251/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com