Spring Securityでセキュリティを強化する #1 - m-namikiの日記自社の社内SNSでIPA ISEC セキュア・プログラミング講座:Webアプリケーション編 第2章 アクセス制限対策:ユーザー認証対策が話題になっていたので、Spring Securityを利用している場合に更にアプリケーション側でセキュリティを強化する場合にどうやるのがベターなのか考えてみます。 まずIPAのページでは以下の内容について言及しています。 常にユーザIDとパスワードを求める アカウントのロックアウト パスワードフィルタ パスワードの有効期限 ランダム化桁とチェック桁 ログインエラーメッセージ パスワードリマインダの慎重な設定 パスワード再設定と再発行手順 管理者権限の制限 これらのうち、Spring Securityでカバーできそうなのはアカウントのロックアウトくらいでしょうか。また、最近ではパスワードにSaltを追加するのは必須と言われているようなので、まずはこれら2つに
