我想问你一个建议。我需要进行安全的申请。该应用程序应该执行以下操作:
它应该由公司使用,并且允许将文档/事件发送给选定的人群,他们需要对该文档或事件“接受”或“拒绝” ...
应该有历史记录,即将发生的事件等,谁将使该文档可以看到,其他人对该文档的响应方式如何……
我正在使用: 后端-春季启动,Oauth2-因此,JWT和密码由BCrypt散列并存储在DB中。 JWT在auth处签名。具有私钥的服务器,并在资源服务器上进行了验证。 我正在使用授权代码流,没有秘密。我正在使用角色来保护对端点的访问。我也在使用HTTPS。
前端:jQuery
所以基本上我有一些输入-登录(电子邮件,密码)和“搜索”按钮...,然后是管理员的特殊输入-用于管理员工。
所以我的问题是:会发生什么“坏”?
我想基本上从输入中提供XSS保护(HTML实体)。我的设置还会发生其他XSS攻击吗?我需要尽可能多地处理XSS。 代币应该是短暂的 如果我可以做类似的事情,那就好了:您只有3次登录尝试,那么您的帐户将被冻结一段时间。 CSRF不应构成威胁,因为我没有使用Cookie。