私たちは、Spring Webサイト、サードパーティの顧客と私たちのモバイルアプリケーション用のRest Webサービスを持つプロジェクトに取り組んでいます。 私たちが計画しているアーキテクチャは、Restful WebサービスのためのMobile Credential、Mobile Credential grantを実装することです。 ここで、SpringのセキュリティOauth2または従来のSpringのセキュリティをSpring Webサイトに使用することを決定します。私たちが保健医療に携わっている現在、私たちはより安全に関心を持っています。以下のリンクに記載されているセキュリティ上のリスクを克服するためのウェブサイトの最適な実装をお勧めしますか? https://www.owasp.org/index.php/Top_10_2013-Top_10SpringセキュリティOauth2 for Spring Web
ありがとうございます。
アドレスOWASP defectsの場合は、間違いなくSpring Securityに行くことができます。あなたは多くのCustom Filtersで書くことができ、springSecurityFilterChainに追加されます。
カスタムフィルタを作成する方法については、この記事をご覧ください。
How to write a custom filter in spring security?
春のセキュリティモジュール が取り組むそれ以下OWASP欠陥のリストを参照してください:あなたはそれそのような方法でCross Site Scripting問題に対処することができ、このカスタムフィルタ1.With
をwill escape all the unwanted script tags。
2.Spring Securityの暗号モジュールは、OWASP's Sensitive Data Exposure defectに対応する必要な暗号化機能を提供します。
3.with春のセキュリティの認証メカニズムは OWASPのInsecure Direct Object References欠陥に対処します