我想保护我的 Web 应用程序,但我想知道应该使用哪种安全措施。
例如,我使用 SSL 认证还是自己编写 JCA(Java 密码体系结构服务)更好?
哪一个给我什么,它们的优缺点是什么?
如果用SSL比较好,用哪个比较好? DV、OV(对最终用户而言有什么区别)或 EV?
谢谢
最佳答案
规则#1
不要尝试以任何形式推出您自己的安全程序、协议(protocol)和机制。许多学者将他们的大部分研究用于创建供公众使用的加密安全算法。
有值(value)的资源:
- > https://security.stackexchange.com/questions/18197/why-shouldnt-we-roll-our-own
- > https://news.ycombinator.com/item?id=9375795
- > https://www.reddit.com/r/programming/comments/3ugvo8/another_example_of_why_you_shouldnt_rollyourown/
关于您的其余部分;您绝对应该主要使用 SSL 证书来保护传输级别从客户端到服务器的通信(感谢 HTTPS)。
也就是说,如果您能够很好地从 CA 获得扩展验证证书并且可能是更好的证书 than a Domain Validated one .
老实说,普通最终用户的差异可以忽略不计,这里的关键是启用 HTTPS。除此之外,您的 SSL 可以/应该在 Web 服务器级别(例如 Nginx)进行配置,并且基本上与语言/技术无关。
最后一点 - 我强烈建议查看 Let's Encrypt因为它允许您以编程方式在您的网络服务器上设置您的 SSL 证书,包括电子邮件通知和自动更新证书以避免它们过期。
关于java - 保护 Java Web 应用程序,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/43800160/