Spring Boot セキュリティレビュー 認証の追加、入力処理、エンドポイント作成、またはシークレット処理時に使用します。 認証 - ステートレスJWTまたは失効リスト付き不透明トークンを優先 - セッションには 、 、 クッキーを使用 - またはリソースサーバーでトークンを検証 認可 - メソッドセキュリティを有効化: - または を使用 - デフォルトで拒否し、必要なスコープのみ公開 入力検証 - を使用してコントローラーでBean Validationを使用 - DTOに制約を適用: 、 、 、カスタムバリデーター - レンダリング前にホワイトリストでHTMLをサニタイズ SQLインジェクション防止 - Spring Dataリポジトリまたはパラメータ化クエリを使用 - ネイティブクエリには バインディングを使用し、文字列を連結しない CSRF保護 - ブラウザセッションアプリの場合はCSRFを有効にし、フォーム/ヘッダーにトークンを含める - Bearerトークンを使用する純粋なAPIの場合は、CSRFを無効にしてステートレス認証に依存 シークレット管理 - ソースコードにシークレットを含めない。環境変数またはvaultから読み込む - を認証情報から解放し、プレースホルダーを使用 - トークンとDB認証情報を定期的にローテーション セキュリティヘッダー レート制限…