何时从容器管理的安全性转向 Apache Shiro、Spring Security 等替代方案？

Question

我正在尝试保护使用 JSF2.0 构建的应用程序的安全。

我很困惑人们什么时候会选择使用 Shiro、Spring Security 或 owasp 的 esapi 等安全替代方案，而放弃容器管理的安全性。看过一些 Stack Overflow 上的相关问题，我意识到过去 JSF 开发人员更喜欢基于容器的安全性。但我也被强烈推荐使用 Apache Shiro。我在安全问题方面是新手，不知道相关问题是什么？如何对付他们。因此，我正在寻找能够通过其默认设置/自行处理大多数安全问题的东西。

就我的应用程序要求而言，我有一个社交应用程序，其中具有不同角色的用户可以访问不同的页面集，并且可以根据其角色在这些页面上使用不同级别的功能。

在这种情况下，您认为我应该选择什么？

我个人确信选择 Shiro，因为它易于使用并且可以为新手处理大部分事情。

Answer 1

我喜欢 Shiro 的一点是，它非常容易设置基于权限的安全性。 JAAS 很大程度上基于角色，具有讽刺意味的是，这种粒度对消费者 Web 应用程序比对企业应用程序更有用（正如我们从您的需求中可以注意到的那样）。

• 应用程序服务器通常在 JAAS 之上提供一些服务，例如单点登录、内置登录模块等，因此有时当权限粒度不是必需的时，您应该选择 JAAS。

• 上次我检查 Shiro 也不支持相互 ssl 身份验证（使用数字证书），但您可能不会使用它...

• 如果您使用 Shiro，您的应用程序可能会在应用程序服务器/servlet 容器之间更具可移植性（哦，讽刺的是！），因为 JavaEE 安全性对于大多数人来说，配置往往是特定于供应商的重要的设置。

总而言之，根据您指定的要求：

• 使用 AppServer（GlassFish、JBoss）：JAAS（ootb authc/authz、内置登录模块）
• 使用 Servlet 容器（Jetty/Tomcat）：Shiro（更易于设置）并使用）

希望有帮助:)

Answer 2

除了以下内容之外，我对 Apache Shiro 一无所知，但您所引用的内容实际上是逐字来自他们的 网页，其中包含一些错误陈述，例如“[JAAS] 需要只有程序员才能更改的静态定义”和“JAAS 与虚拟机级问题的联系过于紧密”，以及 JAAS 的含义与用户和角色无关，这完全是错误的。我希望有足够的说服力来放弃容器管理的安全性。它是 Servlet 规范的一部分，因此任何容器都必须支持它；很好理解；它由 JDK 类支持，无需第三方； ...这对我有用;-)

Answer 3

我决定 SpringSecurity (SS) 将成为我们的身份验证和授权框架。主要是因为SS做了OpenID和OAuth。我必须对权限/组/用户/实体系统进行相当多的自定义。我计划在“EntityManager/Entity”级别、服务级别和 Web/API 级别进行授权。 “锁上门，但把你的珠宝放在后面房间的 3 吨重的保险箱里” 很多后半部分 Shiro 处理得更好。但我不太愿意尝试将 openid4j/openauth4j 集成到 Shiro 中。

如果能够挑选并选择两者的功能，而不会有任何干扰或代码膨胀，那真是太好了。这是最好的选择。

PS，Spring 还带来了很多其他的东西，比如与 JSF 的集成，所以它有很大的吸引力。