Java EE 项目中应该审核什么，不应该审核什么

Question

我需要有关项目审计方面的建议。

目前，我正在开发的项目有许多“用户”可以执行的操作，例如：

• 更改自己的密码
• 添加、删除权限
• 添加、删除角色
• 上传文件
• 许多其他操作..

但是，用户可以访问的所有这些操作都会经过审核我不知道是否通常会审核以下内容：

密码策略规定用户密码必须至少包含 1 个符号和 1 个数字。某些用户在某个时间尝试更改密码而不关心策略，当然他会收到一条消息，指出不遵守密码策略，但是是否应该对此进行审核？我只是想听听以前审计过或了解此事的人的意见。

另一种可能的情况是，当用户尝试删除不存在的内容时，例如，权限列表为空并尝试删除不存在的权限，用户将再次收到一条消息，提示要选择至少有一个删除权限，但这一操作是否应该经过审核？

欢迎任何反馈，我第一次审核项目，谢谢:)

Answer 1

这很大程度上取决于您的要求。客户或业务法规有什么要求？您想进行审核以使您的系统更安全吗？ （通过了解恶意用户的行为）

“审核”是指将其记录在文件中还是将其插入数据库以获取统计信息？

编辑
审核所有内容可能会有点昂贵，因此我建议您按优先级顺序列出项目列表。我的清单看起来像这样。

• 任何 500 http 错误（这通常很容易做到）
• 登录（成功和失败）
• 对任何对业务重要的实体（例如对个人数据的更改）和/或对应用程序重要的实体的更改（正如您提到的添加/删除角色）给用户）。
• 访问被拒绝错误（已登录的用户尝试访问他不允许访问的网站的一部分）
• 伪造的 url（访问 666 的项目，尽管数据库中没有具有该 id 的项目）
• 返回 404 的 URL（潜在的用户探测）申请）。

再说一次，我的清单，你可能需要拿出你自己的清单。因为您可能想要进行更高级的审核，例如“在网站上花费的时间”。

另一件重要的事情是：尽可能使日志可读且可搜索。