4
표준 웹 응용 프로그램 설정에서 모든 코드는 동일한 권한으로 실행됩니다. 대신 principle of least privilege을 따르는 것이 바람직 할 것이고 Java의 보안 관리자 ("샌드 박스")는 이론적으로이를 가능하게해야합니다.세분화 된 보안을 위해 Java 보안 관리자를 사용하는 Java 웹 프레임 워크가 있습니까?
웹 응용 프로그램의 코드가 로그인 된 사용자 만 할 수있는 권한을 가진 "프런트 엔드"와 함께 실행되는 "백엔드"로 구성된 설정을 상상해보십시오. 더 큰 권한을 가지며 "프런트 엔드"코드에 이러한 제한을 부과합니다. 그런 다음 템플릿과 많은 제어 논리가 권한이 부족한 "프런트 엔드"코드의 일부가되어 공격자가 보안을 손상시킬 수있는 방식을 제한합니다.
이것은 이미 완료 되었습니까? 이미 일반적으로 사용되는 웹 프레임 워크의 일부입니까?