Cinco consejos para usar JavaAPI en la universidad

1. No implementes el marco de seguridad tú mismo.

Todo el mundo sabe que se debe evitar implementar algoritmos como el cifrado. Del mismo modo, el resto de la pila de seguridad de su aplicación es la misma, lo que puede resultar costoso y arriesgado. Puedes cometer algunos errores. Desde 1999, se han liberado 89.373 CVE (Vulnerabilidades y Exposiciones Públicas). Y la mayoría de los descubridores descubiertos son personas muy inteligentes.

Podría pensar que manejar un caso de uso simple (como validar la contraseña de un usuario) es muy simple: todo lo que debe hacer es comparar un par de cadenas. Es un error pensar eso. Debe verificar los hash de contraseña, verificar la cantidad de intentos de inicio de sesión y mitigar los ataques de diccionario. Esto es sólo la punta del iceberg. Su mejor opción es utilizar bibliotecas o marcos maduros existentes, como Shiro o Spring Security de Apache, y dejar que estos marcos manejen varios problemas de seguridad complejos.

2. ¡Utiliza siempre TLS! ¡Asegúrese de utilizar TLS!

Solo se necesita una simple línea de código para que su aplicación requiera TLS (HTTPS/SSL), ¡todos deberían hacerlo! Si utiliza el marco Apache Hero, simplemente configure el atributo: [urls]/**=ssl.

Si usa Spring Security, solo necesita llamar a un método al configurar HttpSecurity. http.requiresChannel(). cualquierSolicitud(). requiere seguridad();

En Spring Boot, solo necesita configurar algunas propiedades de la siguiente manera: servidor .puerto 8443 SSL . -contraseña-almacenamiento = servidor secreto .contraseña-clave = otro-secreto.

3. Utilice Spring Boot para crear un servicio web.

Spring Boot es una versión simplificada de la plataforma Spring, lo que hace que escribir aplicaciones Spring sea muy sencillo. Por ejemplo, los puntos mencionados en el artículo "12 factores a considerar en las aplicaciones de aplicaciones" se pueden escribir con muy poco código. Si todavía estás codificando creando paquetes de guerra, vale la pena aprender Spring Boot. Puede usar Spring Boot para aplicaciones complejas y diferentes, por ejemplo, puede crear un servidor de recursos OAuth usando una anotación simple (@EnableResourceServer) o cambiar su puerto mediante una propiedad simple:

server.port = 8090

Si no te gusta usar SpringBoot, puedes usar Dropwizard para construir una pila de tecnología JAX-RS.

4. Monitorear aplicaciones e indicadores de rendimiento.

Si. Sin datos, es difícil encontrar errores en su programa. Al usar Actuator, Spring Boot facilita la recopilación de datos métricos y solo necesita agregar una dependencia a la aplicación de la siguiente manera:

lt dependency gt ltgroupld. gtorg . spring framework . boot lt;/group LD gt; Escriba /health o /metrics en su navegador para verificar el estado o las métricas de su aplicación.

El marco Dropwizard implementa la misma funcionalidad a través de /healthcheck y /metrics.

5. Proteger la información confidencial

Es cierto que las claves API no son seguras. Las claves se envían por correo electrónico o se controlan mediante un sistema de gestión de código fuente. Quizás por eso parecen menos seguras que las contraseñas, pero son igual de sensibles. Si necesita almacenar la clave API en un archivo, asegúrese de otorgar acceso limitado al archivo. Por ejemplo, recomendamos almacenar los archivos YAML de Okta en un directorio privado y otorgar permisos de solo lectura al propietario del archivo.

$ chmod u=r, go-rwx ~/. okta/okta.yaml

Si estás creando una API para los usuarios de tu aplicación, recuerda recordárselo. Los archivos SSH se colocan en su ~/. directorio ssh, si no se establecen los permisos. GitHub los coloca en "Zonas de peligro", lo cual es muy útil para recordar a los usuarios.