Mar*_*tin 18 security spring tomcat wicket jpa
所以,我有一个使用Wicket 1.4框架的基于Web的应用程序,它使用Spring bean,Java Persistence API(JPA)和OpenSessionInView模式.我希望找到一个声明性的安全模型,但不需要大量的XML配置 - 我更喜欢注释.
以下是目前的选项:
Spring Security(指南) - 看起来很完整,但是我找到的每个指南都将它与Wicket结合起来仍然称之为Acegi Security,这让我觉得它必须陈旧.
Wicket-Auth-Roles(指南1和指南2) - 大多数指南建议将它与Spring Security混合使用,我喜欢@Authorize("ROLE1","ROLE2"等)的声明式风格.我担心必须扩展AuthenticatedWebApplication,因为我已经扩展了org.apache.wicket.protocol.http.WebApplication,而Spring已经代理了org.apache.wicket.spring.SpringWebApplicationFactory.
SWARM/WASP(指南) - 这看起来是最新的(虽然几年前主要的贡献者已经过去了),但我讨厌所有JAAS风格的文本文件,这些文件声明了主体的权限.我也不喜欢为用户可能想做的每件事创建一个Action类.安全型号对我来说也不是很明显.另外,没有Authn的例子.
此外,看起来很多人建议混合第一和第二选项.不过,我无法分辨出最佳做法是什么.
我不知道你是否看过这篇博文,所以我在这里作为参考添加它,我只是引用结尾:
更新2009/03/12:那些对保护Wicket应用程序感兴趣的人也应该意识到Wicket-Security有一种替代品,称为wicket-auth-roles.该主题 将为您提供两个框架状态的良好概述.集成检票认证-角色使用Spring Security覆盖这里.
wicket-auth-roles的一个引人注目的特性是能够使用Java注释配置授权.我发现它比集中配置文件更优雅.有一个例子在这里.
根据上面提供的信息和您提供的信息,因为我也更喜欢注释,我会选择带有Spring Security的Wicket-Auth-Roles(即指南2).AuthenticatedWebApplication当这个类扩展时,扩展应该不是问题WebApplication.将应用程序对象从弹簧上下文中拉出来SpringWebApplicationFactory也应该正常工作.
如果您的担忧真的很大,那么通过测试IMO确认这将非常容易和快速:)
| 归档时间: |
|
| 查看次数: |
7046 次 |
| 最近记录: |