根据 OWASP,ID 等前 10 名敏感信息需要通过客户端和服务器之间的传递进行加密。 有了 Spring 怎么办? 我是说 : Spring 可以吗?如何? 如何生成 key ? 需要 keystore (如 Oracle)或 key 生成器?
<小时/>编辑:
示例:
我写了一个API: http://localhost:8080/Estate/api/estates/ {id}
用户“A”可以访问 id 12,但我应该阻止访问 id 14,15,16 因此我应该加密 id 。
最佳答案
作为网络应用程序的安全基础,您可能希望使用 HTTPS。
您可以通过如下配置强制 Spring Security 使用 HTTPS:
<http>
<intercept-url pattern="/**" access="ROLE_ANONYMOUS" requires-channel="https"/>
...
</http>
这不会为您设置 HTTPS,您需要在 Tomcat 或您使用的 servlet 容器中进行设置。
对于公共(public)有效服务器,您需要从安全公司订购证书,对于内部和测试,您可以使用例如 Portecle 创建 keystore 。 .
关于java - 使用spring加密敏感信息,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32455642/