Java安全框架

Question

安全性总是倾向于在新项目中放在最后。或者，您可以使用Spring这样的框架，其中已经内置了安全性，并且可以很容易地打开。我试图找到一种开放的安全框架，它既可以插入到Swing应用程序中，也可以插入到Web应用程序(以及JavaFX?)中，而且可能更容易理解。我研究了简单的JAAS、JGuard和JSecurity，但它太复杂了，无法入门。有什么建议或经验可以分享吗？我正在与NB，Glassfish和MySQL合作。谢谢Sven

Answer 1

我刚刚看了一下这个http://shiro.apache.org/

Java是一个功能强大且易于使用的

安全框架，它执行身份验证、授权、加密和会话管理。使用Shiro易于理解的应用程序接口，您可以快速轻松地保护任何应用程序-从最小的移动应用程序到最大的web和企业应用程序。

Answer 2

我强烈建议您学习JAAS。它真的不难拿到，在Sun网站上有一些有用的tutorials和reference guide。

根据我的经验，JAAS被广泛使用，所以一旦你学会它，你肯定可以重用它。它也恰好是Glassfish身份验证机制的构建块之一！

Answer 3

我在JAAS中为web应用程序做了类似的研究，并遇到了“思想障碍”，直到我最终意识到JAAS是一个在Java世界中解决与传统web应用程序不同的“层”的安全性的框架。它是为解决J2SE而不是J2EE中安全问题而构建的。

JAAS是一个安全框架构建，用于在比web应用程序低得多的级别上保护事物。这些东西的一些例子是JVM级别的代码和资源，因此所有这些在JVM级别设置策略文件的能力。

但是，由于J2EE构建在J2SE之上，因此在J2EE安全性中重用了一些模块，例如LoginModules和回调。

另一方面，Acegi，也就是Spring Security，解决了web应用安全问题中的一个更高的“层”。它建立在J2EE安全性之上，因此是J2SE，因此是JAAS。除非您希望保护J2SE级别的资源(类、系统资源)，否则除了使用公共类和接口之外，我不认为JAAS有任何实际用途。只要专注于使用Acegi或普通的老式J2EE安全，就可以解决许多常见的web应用程序安全问题。

归根结底，重要的是要了解您正在处理J2EE-J2SE安全问题的哪一“层”，并选择针对该问题的编写工具。