java - 保护Java Web应用程序

规则1

不要尝试以任何形式或形式推出自己的安全性过程，协议，机制。 许多学者致力于研究的大部分内容，以创建可供公众使用的加密安全算法。

宝贵的资源：

在您的其余部分上； 您绝对应该主要使用SSL证书来确保从客户端到服务器在传输级别上的通信安全（这要归功于HTTPS）。

也就是说，如果您能够很好地从CA获得扩展验证证书，并且它可能比“域验证”证书更好。

老实说，普通用户的差异可以忽略不计，关键是启用HTTPS。 除此之外，您的SSL可以/应该在Web服务器级别（例如Nginx）进行配置，并且本质上与语言/技术无关。

最后一点-我强烈建议您查看“ 让我们加密”，因为它允许您以编程方式在Web服务器上设置SSL证书，包括电子邮件通知和自动更新证书，以免它们过期。

[英]Securing a web application

[英]Spring Example “Securing a Web Application”

[英]Best approach for securing REST services and a web application

[英]Securing REST Web Service using token (Java)

[英]securing rest web service with digest authentication java

[英]Securing a client-side Java application

[英]Securing database information inside Java application

[英]Is OAuth 2 the way to go for securing a simple web application without social login?

[英]Securing Java application code and configuration from user written code

[英]Securing the web service in app

保护Java Web应用程序