JAAS / JAAC、DROOLS 或定制

Question

我一直在使用自己的内部自定义授权模型，该模型评估用户是否有权查看、编辑、删除或创建项目。例如，我使用它的一个地方是确定用户是否有权查看资源。我有一些限制，例如项目是否已发布、用户是否属于必要的组/角色等。

我将所有这些信息存储在数据库中，在数据库中审核权限以及谁为给定实体更改了权限。为了评估用户是否拥有权限，我有一个 Hibernate 事件监听器，它获取当前用户和其他上下文信息，并根据实体对其进行评估。

这是一个很好的安全模型吗？JAAS / JAAC 或 DROOLS 在这里效果更好吗？

Answer 1

Spring Security 和 Shiro 可能是使用最广泛的安全框架，我现在可能会将它们用于项目。然而，当应用程序服务器已经经过全面测试并内置集成安全性（JAAS）时，在应用程序服务器之上再有一个层似乎是一种耻辱。我期待看到 PicketBox 提供的内容，Seam Security 3.0 是在其上构建的，它似乎更自然地适合应用程序服务器已经提供的功能，只是具有一些不错的功能，例如开放 ID 支持。

Answer 2

我会考虑使用 Apache Shiro （以前称为 JSecurity），而不是 JAAS 或基于规则引擎的解决方案可插入且灵活的身份验证和授权。看看 Shiro 是什么？。

但如果你有一个可行的解决方案，如果它能完成工作，为什么不坚持下去呢？

Answer 3

我意识到我来晚了一点，但是 Spring Security也是一个非常强大的选项，特别是它的 ACL 模块可以做很多你正在寻找的事情。