Raj*_*pta 19 java security jsf jaas shiro
我正在尝试保护使用JSF2.0构建的应用程序.
我很困惑人们什么时候选择使用像Shiro,Spring Security或owasp的esapi这样的安全替代品来留下容器管理的安全性.看过Stack Overflow上的一些相关问题后,我意识到JSF开发人员过去更喜欢基于容器的安全性.但我也强烈建议使用Apache Shiro.我是安全问题的新手,不知道可能是什么相关问题以及如何处理它们.因此,我正在寻找通过其默认设置/自己处理大多数安全问题的东西.
就我的应用程序需求而言,我有一个社交应用程序,具有不同角色的用户可以访问不同的页面集,并可以根据他们的角色在这些页面上使用不同级别的功能.
在那种情况下,您认为对我来说可能是一个很好的选择吗?
我个人已经确信选择Shiro,因为它易于使用并且为新手照顾大部分事情.
小智 17
我喜欢Shiro的是,设置基于权限的安全性非常容易.JAAS基于角色,这是一种粒度,具有讽刺意味的是对消费者Web应用程序比对企业应用程序更有用(我们可以从您的要求中注意到).
应用程序服务器在JAAS之上提供一些服务是很常见的,例如单点登录,内置登录模块等,因此有时当不需要权限粒度时,您应该选择JAAS.
上次我检查Shiro也不支持相互ssl身份验证(使用数字证书),但你可能不会使用它...
如果您使用Shiro,您的应用程序可能在应用程序服务器/ servlet容器之间更容易移植(哦,具有讽刺意味!),因为JavaEE安全配置往往是供应商特定的大多数非平凡设置.
总而言之,根据您指定的要求:
希望能帮助到你 :)
除了以下内容之外,我对 Apache Shiro 一无所知,但您所引用的内容实际上是从他们的网页中逐字逐句得出的,其中包含一些错误陈述,例如“[JAAS] 需要只有程序员才能更改的静态定义”和“JAAS 是“与虚拟机级别的问题联系得太紧密”,并且暗示 JAAS 与用户和角色无关,这完全是错误的。我希望有足够的说服力来放弃容器管理的安全性。它是 Servlet 规范的一部分,因此任何容器都必须支持它;很好理解;它由 JDK 类支持,无需第三方;...这对我有用;-)
| 归档时间: |
|
| 查看次数: |
9320 次 |
| 最近记录: |