Kai*_*tsu 7 java security web-applications securitymanager java-ee
是否足以使用运行应用程序服务器进程的用户的权限来保护Java Web应用程序,或者将SecurityManager与合适的策略文件一起使用是否合理?
我曾经做过前者,而不是后者,但有些客户希望我们也使用SecurityManager,它会明确地为每个第三方组件提供权限,以确保没有任何恶意代码潜伏在那里.
我已经看到一些Servlet容器,比如Resin,建议不要使用SecurityManager来减慢速度.有什么想法吗?
虽然我讨厌建议不使用安全功能,但我认为SecurityManager更倾向于管理在JVM中执行不受信任或第三方代码的情况.思考applet或托管的共享应用服务器场景.如果您完全控制应用服务器并且没有运行任何其他人的代码,我认为这是多余的.启用SecurityManager确实会对我的体验产生重大的性能影响.