身為一名擁有多年經(jīng)驗(yàn)的 Java 開(kāi)發(fā)人員，我了解到安全性不是事後的想法，而是應(yīng)用程式開(kāi)發(fā)的基本面向。在本文中，我將根據(jù)我的個(gè)人經(jīng)驗(yàn)和行業(yè)最佳實(shí)踐，分享建立安全 Java 應(yīng)用程式的七種關(guān)鍵技術(shù)。

安全通訊協(xié)定

任何應(yīng)用程式中的第一道防線之一就是確保安全通訊。在 Java 中，這意味著為所有網(wǎng)路通訊實(shí)施 TLS/SSL。我親眼目睹了忽視這一點(diǎn)如何導(dǎo)致嚴(yán)重的安全漏洞。

為了在 Java 中實(shí)作 TLS，我們使用 SSLContext 類別。這是一個(gè)基本範(fàn)例：

SSLContext context = SSLContext.getInstance("TLSv1.2");
context.init(null, null, new SecureRandom());
SSLSocketFactory factory = context.getSocketFactory();

使用最新的 TLS 版本並避免使用已棄用的協(xié)定至關(guān)重要。始終正確驗(yàn)證證書以防止中間人攻擊。

在一個(gè)專案中，我們發(fā)現(xiàn)我們的應(yīng)用程式使用的是過(guò)時(shí)的 SSL 版本。更新到 TLS 1.2 顯著改善了我們的安全狀況，甚至提高了效能。

輸入驗(yàn)證

輸入驗(yàn)證是抵禦多種類型攻擊的第一道防線，包括 SQL 注入和跨站腳本 (XSS)。來(lái)自應(yīng)用程式外部的每一條資料都應(yīng)被視為潛在的惡意資料。

對(duì)於 SQL 查詢，請(qǐng)務(wù)必使用參數(shù)化語(yǔ)句。這是一個(gè)例子：

String sql = "SELECT * FROM users WHERE username = ? AND password = ?";
PreparedStatement statement = connection.prepareStatement(sql);
statement.setString(1, username);
statement.setString(2, password);
ResultSet resultSet = statement.executeQuery();

對(duì)於 Web 應(yīng)用程序，請(qǐng)考慮使用 OWASP Java Encoder Project 等函式庫(kù)來(lái)轉(zhuǎn)義使用者輸入，然後再將其呈現(xiàn)在 HTML、JavaScript 或 CSS 上下文中。

我曾經(jīng)開(kāi)發(fā)過(guò)一個(gè)遺留應(yīng)用程序，該應(yīng)用程式使用字串連接進(jìn)行 SQL 查詢。我們花了數(shù)週時(shí)間重構(gòu)程式碼以使用準(zhǔn)備好的語(yǔ)句，但安全性的提高是值得的。

最小特權(quán)原則

最小權(quán)限原則是指僅授予應(yīng)用程式的每個(gè)部分其運(yùn)作所需的權(quán)限。在 Java 中，我們可以使用 SecurityManager 來(lái)強(qiáng)制執(zhí)行這項(xiàng)原則。

以下是如何設(shè)定 SecurityManager 的基本範(fàn)例：

System.setSecurityManager(new SecurityManager());

然後您可以在策略文件中定義自訂安全性原則。例如：

grant codeBase "file:/path/to/your/application/-" {
    permission java.io.FilePermission "/tmp/*", "read,write,delete";
    permission java.net.SocketPermission "localhost:1024-", "listen";
};

在我從事的微服務(wù)架構(gòu)中，我們不僅在程式碼層級(jí)應(yīng)用了這項(xiàng)原則，還在基礎(chǔ)設(shè)施層級(jí)應(yīng)用了這項(xiàng)原則。每個(gè)服務(wù)都有自己有限的權(quán)限集，這大大減少了我們的攻擊面。

安全資料儲(chǔ)存

在儲(chǔ)存敏感資料時(shí)，加密是關(guān)鍵。 Java 提供了強(qiáng)大的加密 API，我們可以將其用於此目的。

以下是如何使用 AES 加密資料的範(fàn)例：

SecretKey key = KeyGenerator.getInstance("AES").generateKey();
Cipher cipher = Cipher.getInstance("AES");
cipher.init(Cipher.ENCRYPT_MODE, key);
byte[] encryptedData = cipher.doFinal(data.getBytes());

對(duì)於管理加密金鑰和證書，Java 的 KeyStore API 非常寶貴：

SSLContext context = SSLContext.getInstance("TLSv1.2");
context.init(null, null, new SecureRandom());
SSLSocketFactory factory = context.getSocketFactory();

在我開(kāi)發(fā)的一個(gè)金融應(yīng)用程式中，我們使用 KeyStore 來(lái)安全地管理 API 金鑰和其他敏感憑證。它為保護(hù)我們最關(guān)鍵的數(shù)據(jù)提供了強(qiáng)大的解決方案。

安全會(huì)話管理

正確的會(huì)話管理對(duì)於維護(hù) Web 應(yīng)用程式的安全性至關(guān)重要。始終使用安全性、隨機(jī)產(chǎn)生的會(huì)話標(biāo)識(shí)符來(lái)防止會(huì)話劫持。

以下是如何用 Java 產(chǎn)生安全會(huì)話 ID 的範(fàn)例：

String sql = "SELECT * FROM users WHERE username = ? AND password = ?";
PreparedStatement statement = connection.prepareStatement(sql);
statement.setString(1, username);
statement.setString(2, password);
ResultSet resultSet = statement.executeQuery();

設(shè)定適當(dāng)?shù)臅?huì)話逾時(shí)值並在登出時(shí)正確使會(huì)話無(wú)效：

System.setSecurityManager(new SecurityManager());

在高流量 Web 應(yīng)用程式中，我們實(shí)作了自訂會(huì)話管理系統(tǒng)，該系統(tǒng)不僅增強(qiáng)了安全性，還透過(guò)減少資料庫(kù)負(fù)載來(lái)提高效能。

保持依賴關(guān)係更新

過(guò)時(shí)的依賴項(xiàng)是漏洞的常見(jiàn)來(lái)源。定期更新第三方程式庫(kù)對(duì)於維護(hù)安全至關(guān)重要。

OWASP Dependency-Check 等工具可以協(xié)助識(shí)別和緩解相依性中的安全性問(wèn)題。以下是將其整合到 Maven 專案中的方法：

grant codeBase "file:/path/to/your/application/-" {
    permission java.io.FilePermission "/tmp/*", "read,write,delete";
    permission java.net.SocketPermission "localhost:1024-", "listen";
};

我看過(guò)過(guò)時(shí)的函式庫(kù)導(dǎo)致嚴(yán)重安全漏洞的專案。實(shí)施嚴(yán)格的更新策略和自動(dòng)檢查可以防止其中許多問(wèn)題。

正確的錯(cuò)誤處理

正確的錯(cuò)誤處理不僅是為了改善使用者體驗(yàn)；這也是一項(xiàng)重要的安全措施。避免在錯(cuò)誤訊息中暴露可能被攻擊者利用的敏感資訊。

使用自訂錯(cuò)誤頁(yè)面並實(shí)作正確的日誌記錄。以下是如何在 Java Web 應(yīng)用程式中設(shè)定自訂錯(cuò)誤頁(yè)面的範(fàn)例：

SecretKey key = KeyGenerator.getInstance("AES").generateKey();
Cipher cipher = Cipher.getInstance("AES");
cipher.init(Cipher.ENCRYPT_MODE, key);
byte[] encryptedData = cipher.doFinal(data.getBytes());

對(duì)於日誌記錄，請(qǐng)考慮使用 SLF4J 等帶有 Logback 的框架。這是基本配置：

;
    



<p>在一個(gè)專案中，我們發(fā)現(xiàn)詳細(xì)的堆疊追蹤正在發(fā)送給生產(chǎn)中的使用者。實(shí)施正確的錯(cuò)誤處理不僅提高了安全性，而且還透過(guò)確保正確記錄所有錯(cuò)誤使偵錯(cuò)變得更加容易。 </p>

<p>這七種技術(shù)構(gòu)成了安全 Java 應(yīng)用程式開(kāi)發(fā)的基礎(chǔ)。然而，安全是一個(gè)持續(xù)的過(guò)程。定期安全審核、滲透測(cè)試以及隨時(shí)了解新漏洞和攻擊向量都是維護(hù)應(yīng)用程式安全的關(guān)鍵部分。 </p>

<p>請(qǐng)記住，安全性不僅僅是編寫安全的程式碼。這是為了在您的開(kāi)發(fā)團(tuán)隊(duì)中培養(yǎng)具有安全意識(shí)的文化。鼓勵(lì)有關(guān)安全性的討論，定期舉辦培訓(xùn)課程，並使安全性成為程式碼審查過(guò)程的一部分。 </p><p>身為 Java 開(kāi)發(fā)人員，我們有責(zé)任保護(hù)使用者資料並維護(hù)應(yīng)用程式的完整性。透過(guò)實(shí)施這些安全最佳實(shí)踐，我們可以大幅降低安全漏洞的風(fēng)險(xiǎn)並建立更強(qiáng)大、更值得信賴的應(yīng)用程式。 </p>

<p>根據(jù)我的經(jīng)驗(yàn)，最安全的應(yīng)用程式是那些在開(kāi)發(fā)過(guò)程的每個(gè)階段（從初始設(shè)計(jì)到部署和維護(hù)）都考慮安全性的應(yīng)用程式。這並不總是那麼容易，而且通常需要額外的時(shí)間和精力，但是當(dāng)您知道您已盡一切努力來(lái)保護(hù)您的應(yīng)用程式及其用戶時(shí)，您會(huì)感到內(nèi)心平靜，這是無(wú)價(jià)的。 </p>

<p>隨著我們繼續(xù)開(kāi)發(fā)日益複雜和互連的系統(tǒng)，安全的重要性只會(huì)越來(lái)越大。透過(guò)掌握這些技術(shù)並保持警惕，我們可以應(yīng)對(duì)這些挑戰(zhàn)，並繼續(xù)建立用戶應(yīng)得的安全、可靠的應(yīng)用程式。 </p>


<hr>

<h2>
  
  
  101 本書
</h2>

<p><strong>101 Books</strong>是一家由人工智慧驅(qū)動(dòng)的出版公司，由作家<strong>Aarav Joshi</strong>共同創(chuàng)立。透過(guò)利用先進(jìn)的人工智慧技術(shù)，我們將出版成本保持在極低的水平——一些書籍的價(jià)格低至 <strong>4 美元</strong>——讓每個(gè)人都能獲得高品質(zhì)的知識(shí)。 </p>

<p>查看我們的書<strong>Golang Clean Code</strong>，亞馬??遜上有售。 </p>

<p>請(qǐng)繼續(xù)關(guān)注更新和令人興奮的消息。購(gòu)買書籍時(shí)，搜尋 <strong>Aarav Joshi</strong> 以尋找更多我們的書籍。使用提供的連結(jié)即可享受<strong>特別折扣</strong>！ </p>

<h2>
  
  
  我們的創(chuàng)作
</h2>

<p>一定要看看我們的創(chuàng)作：</p>

<p><strong>投資者中心</strong> | <strong>投資者中央西班牙語(yǔ)</strong> | <strong>投資者中德意志</strong> | <strong>智能生活</strong> | <strong>時(shí)代與迴響</strong> | <strong>令人費(fèi)解的謎團(tuán)</strong> | <strong>印度教</strong> | <strong>菁英發(fā)展</strong> | <strong>JS學(xué)校</strong></p>


<hr>

<h3>
  
  
  我們?cè)诿襟w上
</h3>

<p><strong>科技無(wú)尾熊洞察</strong> | <strong>時(shí)代與迴響世界</strong> | <strong>投資人中央媒體</strong> | <strong>令人費(fèi)解的謎團(tuán)</strong> | <strong> | </strong>令人費(fèi)解的謎團(tuán)<strong> | >科學(xué)與時(shí)代媒介</strong> | </p>現(xiàn)代印度教


          

            
        

以上是基本 Java 安全技術(shù)：開(kāi)發(fā)人員指南的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！