基于角色的访问控制

Question

Closed. This question is seeking recommendations for software libraries, tutorials, tools, books, or other off-site resources. It does not meet Stack Overflow guidelines. It is not currently accepting answers.

---

我们不允许提出寻求软件库、教程、工具、书籍或其他场外资源推荐的问题。您可以编辑问题，以便用事实和引文来回答。

5 年前已关闭。

Answer 1

Spring Security 可能对你有好处。

Answer 2

有几个框架可以为您提供授权系统：

1. Spring Security
   Spring Security 是一个高度可定制的框架，广泛用于处理用 Java 开发的任何基于企业的应用程序中出现的身份验证和访问控制（授权）问题。

2. Apache Shiro
   Apache Shiro 是一个功能强大且易于使用的 Java 安全框架，可以执行身份验证、授权、加密和会话管理。借助 Shiro 易于理解的 API，您可以快速轻松地保护任何应用程序 - 从最小的移动应用程序到最大的 Web 和企业应用程序。

3. JAAS（Java 身份验证和授权服务）
   JAAS 是安全 API 之一，由专为用户身份验证和安全设计的 Java 包组成。授权。 JAAS 在 Java SE 1.3 中作为可选包引入，后来从 JDK 1.4 开始集成到 JDK 中。

4. OACC
   该 Java 应用程序安全框架旨在实现细粒度（对象级别）访问控制。其重点是提供功能齐全的 API 来强制执行和管理应用程序的身份验证和授权需求。它提供了灵活且强大的安全模型的完整实施。

5. jCasbin
   jCasbin是一个强大且高效的Java项目开源访问控制库。它提供基于各种访问控制模型的强制授权支持。

6. 键盘时钟
   Keycloak 是一个面向现代应用程序和服务的开源身份和访问管理解决方案。它提供单点登录 (SSO)、身份代理和社交登录、用户联合、客户端适配器、管理控制台和帐户管理控制台等功能。

Answer 3

我认为您想要回答的问题是：

用户u是否有权对对象o执行操作op？

需要考虑的一件事是如何从业务角度（在 AC 机制之外）定义域对象和用户组。对于任何 RBAC 实施，您需要对其进行配置以告知您的用户和用户组是什么。这将影响您对 RBAC 实施的选择。

另一个（更具体的）问题：您是否需要支持覆盖权限、包含和排除？具体来说，您是否希望能够支持对象 o1 对用户组 g1 可用但对用户 u1（属于组 g1 的一部分）不可用的场景？

根据具体答案，jguard（基于 JAAS 构建）可能是一个非常好的选择 - http: //jguard.net/

Answer 4

APACHE SHIRO Java安全框架

它使用基于角色的授权访问控制

Answer 5

有很多可能的解决方案，但哪一种最好（即满足您的需求而又不会太重量级或太复杂而难以实现）取决于您的要求：

• 您是在谈论 Web 服务的访问控制还是其他什么？

• 您希望实施哪种访问控制？纯粹基于资源 URL，还是取决于所请求实体的状态/元数据？角色是简单的还是分层的？不同的操作需要不同的角色吗？

• 你还需要处理授权吗？

Answer 6

Apache Fortress 是符合 ANSI RBAC 兼容的引擎 (INCITS 359)，并根据 Apache Software 许可证发布。您可以从这里下载它：https://directory.apache.org/fortress/。