Viji
@Viji
DevOps Engineer

Насколько Spring Security хорошо защищает твой бакэнд?

работаем над небольшим приложением. Думаю, насколько хорошо spring security защищает твое бакэнд в частности базу с логинами и паролями... в частности не стоит ли аутентификацию использовать от 3-х компаний типа Okta?
  • Вопрос задан
  • 139 просмотров
Решения вопроса 1
@My1Name
насколько хорошо spring security защищает

В RESTful приложениях, по идее никаких проблем с безопасностью быть не может. Потому что любой запрос связан с сущностью, которая просто не будет построена если какая-то часть запроса не соответствует типу данных хотя бы одному из полей объекта (включая фильтры Security). См. Entity-Control-Boundary (Robustness diagram).

Если у вас в системе есть контроллеры (например ajax), которые принимают запросы независимо от настроек фильтров Spring Security и независимо от сущности, то вопрос безопасности лежит на плечах разработчика.

Spring-security - обеспечивает безопасный канал обмена данными. В каждом запросе клиент/сервер передаётся "пакетный набор" для идентификации пользователя. Например: IP адрес, hash-code сессии, крипто-пароль и др. Это обеспечивает безопасный канал связи. А обработка запросов (в том числе неправильных) - это задача разработчика.
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
Spring Security это фреймворк. Степень безопасности сильно зависит от программистов, которые им пользуются. Если всё в приложении делается правильно и тестируется, то в защите сомнений быть не может.

Okta и подобное это уже готовые серверы авторизации. Если у вас есть бюджет на подобные дорогие удовольствия, то стоит. Но в большинстве случаев, эти расходы необоснованны. Особенно для малых и средних компаний.
Ответ написан
xez
@xez
TL Junior Roo
Spring security - фреймворк аутентификации конкретного приложения.
Okta - поставляет решения для аутентификации набора приложений, при этом аутентификацией какого-то конкретного приложения оно не занимается. Это типа как "войти с помощью google".
Сранивать spring security с okta - нет никакого смысла.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы