context - thymeleaf spring security tags
Java Security Framework (7)
La seguridad siempre tiende a ocupar el último lugar en un nuevo proyecto. O utiliza un marco como Spring donde la seguridad ya está incorporada y se puede encender fácilmente. Intento encontrar un marco de seguridad abierto que se pueda conectar a las aplicaciones Swing y Web (y JavaFX?), Tal vez sea fácil de digerir. Miré JAAS, JGuard y JSecurity, pero es demasiado complicado para empezar. ¿Alguna recomendación o experiencia para compartir? Estoy trabajando con NB, Glassfish y MySQL. Gracias Sven
Acabo de ver este http://shiro.apache.org/
Apache Shiro es un marco de seguridad de Java poderoso y fácil de usar que realiza autenticación, autorización, criptografía y administración de sesión. Con la API fácil de entender de Shiro, puede asegurar rápida y fácilmente cualquier aplicación, desde las aplicaciones móviles más pequeñas hasta las aplicaciones web y empresariales más grandes.
Recomiendo encarecidamente aprender JAAS . Realmente no es tan difícil de aprender, y hay algunos tutoriales útiles y una guía de referencia en el sitio web de Sun.
En mi experiencia, JAAS es bastante utilizado, por lo que definitivamente es algo que podrás reutilizar una vez que lo hayas aprendido. ¡También es uno de los componentes básicos del mecanismo de autenticación de Glassfish !
Hice una investigación similar en JAAS para aplicaciones web y me encontré con un "obstáculo mental" hasta que finalmente me di cuenta de que JAAS es un marco que aborda la seguridad en una "capa" diferente a las aplicaciones web tradicionales en Java World. Es estructura para abordar problemas de seguridad en J2SE no J2EE.
JAAS es una construcción de marco de seguridad para asegurar cosas a un nivel mucho más bajo que la aplicación web. Algunos ejemplos de estas cosas son el código y los recursos disponibles en el nivel de JVM, por lo tanto, toda esta capacidad para establecer archivos de políticas en el nivel de JVM.
Sin embargo, como J2EE se basa en J2SE, algunos módulos de JAAS se reutilizaron en la seguridad J2EE, como los Módulos de inicio de sesión y las Devolución de llamada.
Por otro lado, Acegi, también conocido como Spring Security, aborda una "capa" mucho más alta en el problema de la seguridad de la aplicación web. Se basa en la seguridad J2EE, por lo tanto, J2SE, por lo tanto, JAAS. A menos que esté buscando recursos seguros en el nivel J2SE (clases, recursos del sistema), no veo ningún uso real de JAAS que no sea el uso de la clase común y las interfaces. Solo concéntrese en usar Acegi o la vieja y simple seguridad J2EE que resuelve muchos problemas comunes de seguridad de las aplicaciones web.
Al final del día, es importante saber qué "capa" del problema de seguridad J2EE-J2SE está abordando y elegir la (s) herramienta (s) de escritura para el problema.
apache shiro fracasa estrepitosamente cuando subraya una aplicación web bajo JBoss (digamos 2 millones de solicitudes de un GET simple con una concurrencia de 50 hilos). fue muy decepcionante descubrir esto. sucede cuando usas filtros.
Hay una alternativa de JBoss. Una nueva versión para PicketBox. Más información aquí: https://docs.jboss.org/author/display/SECURITY/Java+Application+Security
Da una vista de 1000 millas desde varios frameworks de seguridad de Java, como JAAS, Shiro o Spring Security. Todos dependen de sus requisitos y de las pilas de tecnología que elija
Te recomendaría que eches un vistazo a OACC ( http://oaccframework.org ). OACC fue diseñado para resolver el problema de la seguridad de las aplicaciones. A diferencia de la mayoría de los marcos, OACC puede almacenar / administrar las relaciones de autorización en su aplicación. El modelo de autorización de OACC es más poderoso que Shiro o Spring Security.