Java安全框架

Question

安全总是倾向于在新项目中占据最后的位置.或者您使用像Spring这样的框架,其中安全性已经内置并且可以轻松打开.我试图找到一个可以插入Swing和Web应用程序(和JavaFX？)的开放式安全框架,也许很容易消化.我看了普通的JAAS,JGuard和JSecurity,但它太复杂了,无法入门.分享的任何建议或经验？我正在使用NB,Glassfish和MySQL.谢谢斯文

Answer 1

我刚才看到了这个http://shiro.apache.org/

Apache Shiro是一个功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理.借助Shiro易于理解的API,您可以快速轻松地保护任何应用程序 - 从最小的移动应用程序到最大的Web和企业应用程序.

Answer 2

我强烈建议学习JAAS.实际上并不难以接受,并且Sun网站上有一些有用的教程和参考指南.

根据我的经验,它JAAS被广泛使用,所以它一定是你学习它后你能够重复使用的东西.它也恰好是Glassfish认证机制的构建块之一!

Answer 3

我已经在JAAS中进行了类似的Web应用程序研究,并且遇到了"思路障碍",直到我最终意识到JAAS是一个解决Java世界中传统Web应用程序不同"层"的安全性的框架.它是为解决J2SE而非J2EE中的安全问题而构建的.

JAAS是一个安全框架构建,用于保护比Web应用程序低得多的东西.这些事情的一些示例是JVM级别可用的代码和资源,因此所有这些都能够在JVM级别设置策略文件.

但是,由于J2EE构建在J2SE之上,因此JAAS的一些模块在J2EE安全性中重用,例如LoginModules和Callbacks.

另一方面,Acegi,又名Spring Security,在安全的Web应用程序问题中解决了更高的"层".它建立在J2EE安全之上,因此J2SE因此成为JAAS.除非您希望保护J2SE级别(类,系统资源)中的资源,否则除了使用公共类和接口之外,我没有看到JAAS的任何实际用途.只关注使用Acegi或普通的旧J2EE安全性,它解决了许多常见的Web应用程序安全问题.

最后,了解您正在处理的J2EE-J2SE安全问题的"层"并选择针对该问题的写入工具非常重要.