将 Spring Security 与 EJB 或 Spring 结合使用？

Question

我想构建一个基于 Java EE 6 的应用程序，但 Java EE 的安全机制不足以满足我的需求。 Spring Security 似乎是保护我的应用程序的最佳方法。现在我想知道 Spring Security + EJB 是否是一个很好的组合，或者我是否应该更好地只使用 Spring。

我需要方法拦截、ACL 以及可能的 URL 模式访问控制。我看到的主要问题是将 EJB 拦截与 Spring Security 结合使用。这是一个问题吗？还有哪些其他领域可能存在问题？

您更喜欢 Spring Security + EJB 还是 Spring Security + Spring（仅）？

正如 skaffman 所说，真正的问题是 Java EE 与 Spring。 JBoss 有一个很好的比较。

Answer 1

Spring Security 与 Spring 框架不同。它们可以很好地协同工作，但 Spring Security 不要求您使用底层的 Spring 框架。

所以从非常现实的意义上来说，这并不重要，这变成了你更喜欢 EJB3 还是 Spring 的问题，而不考虑 Spring Security。

Answer 2

我对 EJB 不是很熟悉，但我一直认为它本质上是一种数据访问技术，或者是一种分发服务的方式。

Spring 本身以及 Spring Security 模块被设计得非常轻量级且不引人注目。如果您正在构建 Web 应用程序并使用 Spring Security 进行登录/安全，那么它并不关心甚至不知道您是否使用 EJB、JDBC、远程处理技术等。

Answer 3

在花了很多天尝试找到一种仅使用 springsecurity 来保护 ejb 的方法之后，我采用了一种混合解决方案：JAAS + springsecurity。

客户端使用 JAAS 对服务器上的 ejb 进行身份验证，我创建了一个自定义 JAAS LoginModule，它将身份验证委托给 springsecurity 代码。

EJB 使用 jsr250 注释（RolesAllowed）注释的方法来执行其逻辑，这部分是完全由 Spring Security 处理。

通过这种方式，我实现了 ejb 和 spring security 之间的明确分离，因此由 springsecurity 保护的我的业务代码可以完全移植到任何其他类型的 ApplicationServer，甚至可以作为独立应用程序运行。