当前位置：文江博客话题详情

高级 Java 安全框架

发布于 2024-11-13 06:16:45 字数 386 浏览 3 评论 0原文

您在 Java 项目中使用什么安全框架？

我使用了 Spring Security 和 Apache Shiro，它们看起来都不成熟。

Spring Security缺陷：

Apache Shiro 缺陷：

两者也都缺乏文档。

也许大多数真正的项目都开发自己的安全框架？

需要登录才能够评论，你可以免费注册一个本站的账号。

朮生 2024-11-20 06:16:46

我当前的项目使用 SpringSecurity 并涉及执行您声称是 SpringSecurity 中的缺陷的所有三件事：

这些项目实现了超出简单角色的细粒度访问规则，并且以各种方式涉及域对象的状态、额外的请求参数等在。这些是使用在我的 MVC 控制器中调用的自定义“访问策略对象”来实现的。但是，访问检查失败会通过抛出相关异常而交回给 SpringSecurity。（这些可以作为标准 SpringSecurity 方法级拦截器实现，但检查通常涉及检查域对象。）
这些项目支持 Web 和 AJAX 访问，并以不同的方式处理这两种情况的访问失败。这是通过为 SpringSecurity 编写一些自定义身份验证入口点组件来完成的，这些组件根据请求 URL 等在不同的身份验证行为之间进行选择。

换句话说，它可以完成......

话虽如此，我同意你的几点观点:

连接这种东西并不容易。在使用元素及其关联的配置器时，我不断遇到障碍。就像...您希望它使用组件 X 的不同版本。但要做到这一点，您还必须替换 Y、Z、P 和 Q。
文档非常稀疏，如果您尝试做一些不寻常的事情，则没有帮助。

自由如风 2024-11-20 06:16:46

安德烈，我认为这个答案来得太晚了，对你没有帮助；它是为那些稍后登陆此线程的人准备的，我希望它有所帮助。

我的公司最近发布了开源的 OACC，这是一个高级 Java 应用程序安全框架。 OACC 专为需要高达对象级安全粒度的系统而设计。

OACC 提供高性能 API，提供基于权限的授权服务。简而言之，OACC 允许您的应用程序通过回答以下问题来增强安全性：实体“A”是否允许对实体“B”执行操作“p”？

OACC 中的关键抽象之一是资源。资源充当OACC中需要保护的应用程序域中的对象的占位符。参与者（例如用户、进程）和受保护的对象（例如文档、服务器）在 OACC 中都表示为资源。作为参与者或受保护的应用程序域对象只是将资源 ID 存储到关联的资源。

与其他主要安全框架不同，资源抽象允许 OACC 提供丰富的 API 来管理资源之间的权限。 OACC 在 RDBMS 表中保留安全关系（当前支持 DB2、Oracle、MS-SQLServer 和 PostgreSQL）。

欲了解更多信息，请查看项目网站：http://oaccframework.org

奢欲 2024-11-20 06:16:46

我们在一个项目中使用了分层安全性。这些层如下：

从概念上讲，安全性由加密密钥、加密算法和应用该算法的数据组成。我们确保在通信过程中不会同时传递 3 个以上的 1 个。希望有帮助。问候， - MS

至于 Apache Shiro：

我不确定你为什么列出你所做的事情：

世界上的每个项目都有发布错误，毫无疑问。然而，这里最关键的是 Shiro 的团队反应迅速并尽快修复它们。这不是评估框架的依据，否则您将消除每个框架，包括您自己编写的任何框架。
OpenID 支持很快就会在 Shiro 1.2 中发布 - 也许一个月后？
什么性能问题？没有人曾经向开发者列表报告过性能问题，特别是因为 Shiro 中的缓存支持是广泛且一流的。如果没有澄清或参考，这就会被视为 FUD。
现在的文档实际上非常好 - 一些我最近看到的最好的开源文档（两周前重新编写）。您有具体的例子来说明它的不足之处吗？

我很乐意提供帮助，但您的担忧是概括性的，没有参考文献或具体示例的支持。也许您可以代表您的项目需要但迄今为止尚未完成的具体事情？

Apache Shiro 仍然是 Java 和 JVM 语言中最灵活、最容易理解的安全框架 - 我怀疑您会找到更好的。

但是，最重要的是，我是真心实意地表示，请不要编写自己的安全框架，除非您计划投入可笑的时间。我见过的几乎所有试图自己做到这一点的公司都惨遭失败。要“正确”（并且安全）确实非常困难。相信我 - 在写了 8 年之后，这是我绝对确定的一件事:)

不管怎样，请随意加入 Shiro 用户列表，你一定会发现社区很高兴并且愿意解决任何问题你可能有。您会发现我们会照顾提出问题的人，并尽力提供帮助。

哈！