Je suis chargé de développer une application web et je pense utiliser le framework Struts car il semble être un standard et facile à implémenter.Quelles sont les fonctionnalités de sécurité disponibles dans Struts?
Cependant, avant de prendre une décision, j'ai besoin de connaître les fonctions de sécurité disponibles dans Struts.
Existe-t-il des moyens efficaces de gérer le OWASP Top 10 à l'aide de Struts? Et si oui, comment l'accomplirais-je?
Struts est là pour vous offrir un cadre MVC, et il a des caractéristiques de sécurité limitées, par ex. vous pouvez mapper les rôles aux actions. Je vous recommande de regarder quelque chose de plus à part comme le Spring Security (anciennement Acegi).
La meilleure façon de gérer le OWASP Top dix entretoises est de regarder l'API Enterprise Security OWASP ...
Même pour les fonctionnalités que YC REPONSES, vous ne voulez probablement pas d'utiliser une configuration Struts fichier hors de la boîte pour configurer les ACL pour vos actions. Il peut être préférable d'examiner par programme l'état dans HttpRequest lorsqu'il sort du serveur ActionServlet, avant qu'il n'atteigne vos actions Struts (c'est-à-dire que HttpRequest provient d'un utilisateur authentifié et autorisé ayant reçu l'URL?). Alternativement, vous pouvez intercepter la requête avec un ServletFilter, bien que vous deviez faire attention à ce que le thread soit sûr.