authentication - Buenas prácticas de autenticación Vaadin
spring-security (2)
Estoy interesado en las mejores prácticas de autenticación en Vaadin. Creo que aquí hay principalmente dos opciones:
- ThreadLocal (puede causar memoria insuficiente, puede tener el mismo hilo para diferentes usuarios)
- Spring Security + integración con Vaadin (parece un poco demasiado)
¿Cual prefieres y porque? (Problemas de seguridad, fácil desarrollo, otros factores)
Hay muchas formas diferentes de autenticación en Vaadin.
- Base de autenticación de Vaadin.
- Para Vaadin 6, intente
LoginForm
. - Para Vaadin 7, puede usar la implementación nueva y mejorada de reemplazo de
LoginForm
primero disponible como complemento , y luego incorporada a Vaadin 7.7 . - Para Vaadin 8, use ese mismo
LoginForm
re-implementado. - Para Vaadin Flow , no implementado a partir de la versión 12. Podría leer detenidamente el código fuente abierto y construir algo similar. El soporte "Listener" está integrado en las superclases, por lo que no está empezando desde cero.
- Para Vaadin 6, intente
- Agregue valor a la sesión del usuario y verifique ese valor en el método init (). (también fácil)
- Autenticación básica (vea el ejemplo de Tomcat ) (a veces es muy útil para el cliente, pero generalmente tiene un problema específico del contenedor).
- Spring Security Vaadin 7.1 + Spring-Security Integration se ejecuta en Tomcat Server (a la gente le encanta Spring)
- Apache shiro (nunca lo intentes pero fue una de las formas posibles)
Te recomiendo que selecciones 1 o 2 si quieres que sea fácil o 4 si quieres un sistema de seguridad de energía.
No del todo a su pregunta, pero dos menciones:
Nueva Persona para el "complemento" de Vaadin
Utiliza el prometedor sistema de autenticación de Persona inventado por Mozilla. Por Leif Åstrand. Nuevo, todavía en fase experimental.
ACTUALIZACIÓN Mozilla ha abandonado este proyecto .Stormpath
Una empresa dedicada a proporcionar una API de administración de inicio de sesión de usuario y un servicio para desarrolladores. Hay algunas otras empresas que parecen incursionar en esta nueva área de autenticación como servicio, pero Stormpath es la única que conozco que está dedicada a ello.
No he usado ninguno de estos, pero están en mi lista de tareas pendientes.