高级Java安全框架

Question

您在Java项目中使用了哪些安全框架？

我使用的是Spring Security和Apache Shiro,它们看起来都不成熟.

Spring安全漏洞:

1. 没有对权限的本机支持;
2. 无法在Java代码中显式使用(有时是必要的);
3. 过分关注经典(非AJAX)Web应用程序.

Apache Shiro缺陷:

1. 最终版本中的错误(就像Spring集成的问题);
2. 不支持OpenID和其他一些广泛使用的技术;
3. 报告的性能问题.

两者都缺乏文档.

也许大多数真正的项目都会开发自己的安全框架？

Answer 1

至于Apache Shiro:

我不确定你为什么列出你所做的事情:

1. 毫无疑问,世界上的每个项目都有发布错误.然而,最重要的是Shiro的团队响应迅速,并尽快修复它们.这不是评估框架的东西,否则你会消除每个框架,包括你自己编写的任何框架.
2. OpenID支持将很快在Shiro 1.2中发布 - 也许一个月就会发布？
3. 什么性能问题？没有人曾经报道的性能问题的开发列表,特别是在四郎的缓存支持是广泛的和一流的.如果没有说明或参考,这就是FUD.
4. 现在的文档实际上非常好 - 我最近看过的一些开源中最好的(它在2周前被重新编写).你有具体的例子说明它不适合你吗？

我很乐意提供帮助,但您的担忧是引用或具体示例不支持的概括.也许你可以代表你迄今为止未能完成项目所需的具体事情？

Apache Shiro仍然是最灵活,最容易理解的Java和JVM语言安全框架 - 我怀疑你会发现更好.

但是,最重要的,我的意思是这一切的真诚,请不要除非你打算把一写你自己的安全框架可笑的时间到了.几乎我见过的所有试图做到这一点的公司都失败了.这是真的很难得到"正确"(和安全).相信我 - 写了8年之后,这是我绝对肯定的一件事:)

无论如何,随时加入Shiro用户列表,您一定会发现社区很高兴并愿意解决您可能遇到的任何问题.您会发现我们会照顾那些提出问题并尽力帮助的人.

HTH!