我对Java的安全模型几乎一无所知,包括XML配置,策略设置,任何安全框架组件,工具(如密钥库等)以及介于两者之间的所有内容.
虽然我知道它最终将成为必不可少的,我挽起衣袖和学习深入Java安全,我在想,如果使用类似阿帕奇四郎将有助于缓解过渡一下.因此,我对它有一些担忧.
Shiro本质上是用于在Java应用程序(尤其是Web应用程序)中实现安全性的"交钥匙,捕获包装器".意思是,可以用他们的项目配置Shiro并且基本上调整它做所有相同的配置,策略设置等,一个人必须"手动"(零碎)没有它吗?如果没有,那么Shiro有什么缺点(Shiro不能为我做些什么重要事情)?是否存在Shiro根本没有解决的任何大漏洞?
同样,我听说过OWASP的ESAPI框架.Aybody有两种经验吗?ESAPI和Shiro可以配置为一起工作还是仅仅是二进制"一个或另一个"类型的交易?
提前致谢!