Struts 2 একটি শক্তিশালী ও জনপ্রিয় ফ্রেমওয়ার্ক, যা মডেল-ভিউ-কন্ট্রোলার (MVC) আর্কিটেকচার অনুসরণ করে। যেহেতু এটি ওয়েব অ্যাপ্লিকেশন ডেভেলপমেন্টে ব্যবহৃত হয়, তাই সিকিউরিটি একটি গুরুত্বপূর্ণ বিষয় হয়ে ওঠে। ওয়েব অ্যাপ্লিকেশনগুলি ইন্টারনেটের মাধ্যমে অ্যাক্সেসযোগ্য হয়, যা সেগুলিকে বিভিন্ন ধরনের আক্রমণের শিকার হতে পারে। তাই Struts 2-এ সিকিউরিটি ব্যবস্থা গুরুত্বপূর্ন, যেমন ইউজার অথেনটিকেশন, অথরাইজেশন, ইনপুট ভ্যালিডেশন এবং ক্রস সাইট স্ক্রিপটিং (XSS) প্রতিরোধ করা।
Struts 2 তে সিকিউরিটি নিশ্চিত করার প্রয়োজনীয়তা
- ইউজার অথেনটিকেশন:
- Struts 2 অ্যাপ্লিকেশনগুলোতে ইউজারের পরিচয় নিশ্চিত করার জন্য অথেনটিকেশন ব্যবস্থা থাকতে হবে, যাতে শুধুমাত্র বৈধ ইউজাররা অ্যাপ্লিকেশন অ্যাক্সেস করতে পারে।
- ইউজার অথরাইজেশন:
- শুধুমাত্র অনুমোদিত ইউজাররা নির্দিষ্ট অ্যাকশন বা রিসোর্স অ্যাক্সেস করতে পারে। এটির মাধ্যমে প্রতিটি ইউজারের জন্য অ্যাপ্লিকেশন ব্যবহারের সীমাবদ্ধতা নির্ধারণ করা হয়।
- ইনপুট ভ্যালিডেশন:
- ইউজার ইনপুট থেকে অপ্রত্যাশিত এবং বিপজ্জনক ডেটা ফিল্টার করার জন্য ইনপুট ভ্যালিডেশন খুবই গুরুত্বপূর্ণ। এটি SQL Injection, XSS, এবং অন্যান্য আক্রমণ প্রতিরোধে সাহায্য করে।
- ক্রস সাইট স্ক্রিপটিং (XSS):
- XSS আক্রমণ থেকে বাঁচার জন্য, Struts 2 একটি সুরক্ষিত ফিচার সরবরাহ করে যাতে ইউজারের ইনপুট ডেটা নিরাপদে প্রক্রিয়া করা যায়। বিশেষ করে, Struts 2-এর OGNL (Object-Graph Navigation Language) ইনপুটে স্ক্রিপ্ট বা ম্যালিশিয়াস কোড প্রবেশ করানোর জন্য সুরক্ষা ব্যবস্থা প্রদান করে।
- CRSF (Cross-Site Request Forgery) প্রতিরোধ:
- ওয়েব অ্যাপ্লিকেশনগুলির মধ্যে একটি জনপ্রিয় আক্রমণ হল CRSF। Struts 2 এর মাধ্যমে Token-based সুরক্ষা প্রয়োগ করে CRSF আক্রমণ থেকে রক্ষা পাওয়া যায়।
Struts 2 তে সিকিউরিটি বাস্তবায়নের জন্য প্রধান পদক্ষেপ
- ফর্ম ভ্যালিডেশন এবং ইনপুট ভ্যালিডেশন:
- Struts 2 এর ValidationInterceptor ব্যবহার করে ইনপুট ভ্যালিডেশন এবং ফর্ম ভ্যালিডেশন সিস্টেম বাস্তবায়িত করা যায়।
- XSS (Cross-site Scripting) প্রতিরোধ:
- Struts 2 নিজস্ব OGNL সুরক্ষা ব্যবস্থা দিয়ে স্ক্রিপ্ট ইনজেকশন এবং ম্যালিশিয়াস কোড প্রতিরোধ করে।
- CRSF (Cross-Site Request Forgery) প্রতিরোধ:
- Struts 2 এর Token-based নিরাপত্তা ব্যবস্থা ব্যবহার করা যেতে পারে যাতে প্রতিটি রিকোয়েস্টের সাথে একটি সিকিউরিটি টোকেন পাঠানো হয়।
- অথেনটিকেশন ও অথরাইজেশন:
- Struts 2 এ Basic Authentication বা Form-Based Authentication ব্যবহার করা যেতে পারে। এছাড়া, Role-based Authorization সিস্টেম বাস্তবায়ন করা হয়, যা শুধুমাত্র অনুমোদিত ইউজারদের নির্দিষ্ট অ্যাকশন বা রিসোর্স অ্যাক্সেস করতে দেয়।
Struts 2 তে সিকিউরিটি বাস্তবায়নের উদাহরণ
১. ইনপুট ভ্যালিডেশন
UserAction.java (Action ক্লাস):
import com.opensymphony.xwork2.ActionSupport;
public class UserAction extends ActionSupport {
private String username;
private String password;
// ইনপুট ভ্যালিডেশন অ্যানোটেশন
public void validate() {
if (username == null || username.trim().isEmpty()) {
addFieldError("username", "Username is required");
}
if (password == null || password.trim().isEmpty()) {
addFieldError("password", "Password is required");
}
}
public String execute() {
// যদি কোনো ত্রুটি না থাকে
if (hasErrors()) {
return INPUT;
}
return SUCCESS;
}
// Getter and Setter methods
public String getUsername() {
return username;
}
public void setUsername(String username) {
this.username = username;
}
public String getPassword() {
return password;
}
public void setPassword(String password) {
this.password = password;
}
}
ব্যাখ্যা:
validate()মেথডে ইনপুট ফিল্ডগুলির জন্য সঠিকতা যাচাই করা হয়।- addFieldError() পদ্ধতি ব্যবহার করে, যদি ইউজার নাম বা পাসওয়ার্ড ফাঁকা থাকে, তাহলে ত্রুটি বার্তা দেখানো হবে।
২. XSS প্রতিরোধ
Struts 2 তে OGNL সুরক্ষা ব্যবস্থার মাধ্যমে XSS আক্রমণ থেকে সুরক্ষা পাওয়া যায়। <s:property> ট্যাগ ব্যবহার করার মাধ্যমে কোনো স্ক্রিপ্ট ইনজেকশন থেকে রক্ষা পাওয়া যায়।
hello.jsp:
<%@ taglib uri="/struts-tags" prefix="s" %>
<html>
<body>
<h2><s:property value="username" /></h2>
</body>
</html>
ব্যাখ্যা:
- <s:property> ট্যাগ ব্যবহার করার মাধ্যমে, Struts 2 ইউজার ইনপুট ডেটা সঠিকভাবে রেন্ডার করে, যা XSS আক্রমণ থেকে সুরক্ষা প্রদান করে।
৩. CSRF (Cross-Site Request Forgery) প্রতিরোধ
Struts 2 তে CSRF প্রতিরোধ করার জন্য Token-based সুরক্ষা ব্যবস্থার ব্যবহার করা হয়।
struts.xml:
<package name="default" namespace="/" extends="struts-default">
<action name="login" class="com.example.LoginAction">
<interceptor-ref name="token">
<param name="excludeMethods">input,success</param>
</interceptor-ref>
<result name="success">/home.jsp</result>
</action>
</package>
ব্যাখ্যা:
- এখানে token ইন্টারসেপ্টর ব্যবহার করা হয়েছে, যা CSRF আক্রমণ থেকে অ্যাপ্লিকেশন সুরক্ষিত রাখে।
- excludeMethods প্যারামিটার ব্যবহার করে টোকেন প্রক্রিয়াগুলি নির্দিষ্ট কিছু মেথডের জন্য নিষ্ক্রিয় করা হয়।
৪. অথেনটিকেশন এবং অথরাইজেশন
Struts 2-এ Basic Authentication এবং Form-based Authentication ব্যবহার করা যেতে পারে। আপনি struts.xml ফাইল এবং web.xml ফাইলে নিরাপত্তা কনফিগারেশন করতে পারেন।
struts.xml:
<package name="default" namespace="/" extends="struts-default">
<action name="welcome" class="com.example.WelcomeAction">
<result>/welcome.jsp</result>
</action>
</package>
web.xml (Basic Authentication):
<web-app>
<security-constraint>
<web-resource-collection>
<web-resource-name>Protected Resources</web-resource-name>
<url-pattern>/protected/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>admin</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>My App</realm-name>
</login-config>
</web-app>
ব্যাখ্যা:
- এখানে Basic Authentication ব্যবহৃত হয়েছে, যেখানে admin রোল ছাড়া অন্য কোনো রোল এই রিসোর্স অ্যাক্সেস করতে পারবে না।
সারাংশ
Struts 2 তে সিকিউরিটি খুবই গুরুত্বপূর্ণ। ইনপুট ভ্যালিডেশন, XSS, CSRF প্রতিরোধ, এবং অথেনটিকেশন/অথরাইজেশন ইত্যাদি সিকিউরিটি ব্যবস্থা Struts 2 অ্যাপ্লিকেশনগুলোকে সুরক্ষিত রাখতে সাহায্য করে। Struts 2 ফ্রেমওয়ার্কে নিরাপত্তা ব্যবস্থার সঠিক কনফিগারেশন এবং সঠিক টুলস ব্যবহার করে আপনি নিরাপদ, স্কেলেবল এবং রক্ষণাবেক্ষণযোগ্য ওয়েব অ্যাপ্লিকেশন তৈরি করতে পারেন।
