我是一位开发App Security的Java开发人员,我偶然发现了OWASP组织及其配套Java API ESAPI。Java安全性与ESAPI
在几个月前我在这个网站上提出的另一个问题,有人向我指出,ESAPI是开源应用程序第二产业的主要参与者。
我现在想知道的是,我确定ESAPI与内置Java安全模型(根源于javax.security.auth
)在身份验证/授权以及其他领域重叠。 但是,如果严格遵守Java安全API,那么ESAPI明确解决的app sec有哪些地方无法实现?
基本上,我想问一下,如果学习ESAPI是否有意义,如果它的所有优点/特性已经在某些现有的Java API中涵盖了。提前致谢!
谢谢thinksteep!这是否意味着通过最大限度地使用ESAPI,我不需要实现或配置任何Java API特定的项目,比如SecurityManager?基本上,我问是否使用ESAPI可以覆盖Java内置安全模型提供的所有基础。再次感谢! – IAmYourFaja 2012-01-11 19:00:21
您可能会以ESAPI配置结束。记住你不能完全避免配置。这些是任何软件的驱动参数。 – kosa 2012-01-11 19:08:38