如何保护应用程序security security

Question

有没有办法防止用户更改Spring Security框架中的applicationContext-security.xml，这样他就不能更改已定义的应用程序的intercept-url。

<intercept-url access="hasRole('ROLE_ADMIN')" pattern="/choices/**"/>
<intercept-url access="hasAnyRole('ROLE_SYSADMIN')" pattern="/departments/**"/>
<intercept-url access="hasAnyRole('ROLE_SYSADMIN')" pattern="/employees/**"/>

Answer 1

我还没有这样做，但是您可以通过在启动时对您的jar进行签名并以编程方式验证它来做到这一点。

Verifying Jar Signature

通过启动您的应用程序，您必须触发验证您的JARfile的代码，并在签名不可用或不可操作的情况下执行一些操作以使启动失败。

另请参阅：http://docs.oracle.com/javase/tutorial/deployment/jar/signindex.html

这不会阻止“攻击者”解压jar，修改代码并在没有签名清单的情况下将其打包，但工作量会大得多(根据您的验证和预防机制)。

至少你可以使用yGuard来混淆和缩小你的类文件。