使用运行应用程序服务器进程的用户的权限来保护 Java Web 应用程序是否足够,或者将 SecurityManager 与合适的策略文件一起使用是否合理?
我曾经做过前者,而不是后者,但一些客户希望我们也使用 SecurityManager,它会明确向每个第三方组件授予权限,以确保那里没有潜伏任何邪恶代码。
我见过一些 Servlet 容器,例如Resin http://caucho.com/resin-3.1/doc/resin-security.xtp建议不要使用 SecurityManager 来减慢速度。有什么想法吗?
虽然我讨厌推荐not使用安全功能,我认为 SecurityManager 更适合管理 JVM 中执行不受信任或第三方代码的情况。想想小程序或托管的共享应用程序服务器场景。如果您完全控制应用程序服务器并且不运行其他人的代码,我认为这是多余的。根据我的经验,启用 SecurityManager 确实会对性能产生重大影响。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)