WebcatEE 安全设置

一、环境

1. 无论如何，都不要将业务数据库对公网开放！！！
2. 无论如何，都不要将 WebcatEE 对公网开放！！！

二、应用

1. 尽量使用 Password + OTP 的登录方式。强制用户每次都必须输入密码。

   管理控制台 - 安全设置 - 认证方式

2. 会话有效期修改为1天，不要使用超长的会话有效期。如果用户的电脑被恶意的人控制，超长的会话有效期会造成数据泄露。

   管理控制台 - 一般设置 - 会话有效期

3. 尽量为每个用户配置 IP 白名单。

   管理控制台 - 用户管理 - IP白名单

4. 恶意扫描拦截。WebcatEE 自带的Filter能过滤掉绝大部分的恶意扫描，也可根据情况自行添加规则。

   ~/WEB-INF/classes/filter.conf