基于Spring的java应用程序身份验证和授权的最佳实践

Question

在我们的组织中，我们正在开发基于 LDAP 的身份验证和授权 具有单点登录功能。开发这个通用模块后，将会有数十个其他模块依赖于它。工具集是 -

• Spring
• Hibernate
• Tomcat 7
• openAm/openSSO
• openldap
• postgresql

我们将拥有简单的身份验证机制，但非常复杂的授权方案。我们不确定授权的正确方法是什么。我们应该将身份验证和授权逻辑放在 LDAP 中还是应该仅将其用于身份验证？在这种情况下，我们将不得不使用 OpenAM/OpenSSO。还有其他方法吗？比如 Spring Security、CAS、JOSSO，..？无论采用哪种方法，它都必须具有很强的可扩展性和可维护性。任何建议或帮助将不胜感激。

谢谢， 纳兹鲁尔

Answer 1

您可以查看 Apache Shiro：http://shiro.apache.org/。它是一个易于使用的安全框架，支持大多数现有的安全技术，包括 LDAP 和单点登录。

此外，通过子类型化 AuthenticatingRealm 和 AuthorizingRealm（来自 Shiro API），您可以实现您的身份验证和授权策略，无论它们有多复杂。

最常见的是，您将实现自己的：

• AuthenticatingRealm

• AuthorizingRealm

• AuthenticationToken

• AuthrozationToken

• PremissionResolver

  等等...

Answer 2

在做出任何决定之前，您可能会想看看这个。
http://grzegorzborkowski.blogspot.com/2008 /10/spring-security-acl-very-basic-tutorial.html

Answer 3

对于授权，您可以查看基于 XACML 的外部化授权框架，即 可扩展访问控制标记语言。

它是一个实现基于属性的访问控制的 OASIS 标准，为您设计授权的方式提供了很大的灵活性。