Grails安全性

Question

在acegi、jsecurity和Stark安全中，哪个是grails最好的安全解决方案？

Answer 1

JSecurity实际上在不久前以Apache Ki的名字成为了一个Apache项目，由于某种原因，他们对名称的更改不满意，并在那之后不久将其更改为Apache Shiro。此外，Stark只是Spring Security的一个grails插件包装器，而acegi是Spring Security项目的起源。

那么该用哪一个呢？

首先，Spring Security是一个成熟的安全，并且已经被广泛使用，所以从稳定性，支持，特别是安全的角度来看，它是一个很好的选择。不幸的是，Shiro在这一点上有点失败，因为据我所知，它仍然缺乏广泛的采用。

其次是，他们认为安全框架的实际行为方式是相当重要的，它必须能够让你做你最喜欢的方案来保护你的应用程序。例如，虽然有些人喜欢Shiro的工作方式(，尤其是标题“Quickstart.java”下面的部分)其他人离不开Spring Security的Spring风格的东西，诸如此类。基本上，你需要尝试这两种方法，并从可用性的角度来判断它们是否满足你的需求。

第三，，请确保实际的安全性！Spring Security可以保证是安全的，Shiro最有可能是安全的，因为没有广泛的采用可以轻易地隐藏安全问题，例如Firefox vulnerabilities，看看增加的用户基础如何开始影响应用程序的实际安全性。

最后，如果我必须为您选择，我会选择Spring Security，因为它被广泛使用，它保证是安全的，并且已经与Grails集成在一起。JSecurity/Ki/Shiro一点都不坏，我已经用了一段时间了，但目前它处于某种不确定的状态，谁知道是什么原因，以及一个无法接受的安全框架。

Spring编辑：我回答这个问题已经超过一年半了，所以我觉得有必要回来告诉大家，我们公司最近决定使用Spring Security，因为它具有很高的可插拔性和经过验证的功能。这当然让我有点偏见，但不管怎样，我想说Spring Security是个不错的选择。

Answer 2

Esko的回答很好，也很全面。一个月前，我对不同的框架进行了评估，并选择Shiro作为底层安全框架，尽管我之前有Spring Security的经验。我需要一个能够创建复杂授权需求的解决方案。JSecurity的模型非常简单，但却非常强大。

不过，最终让我信服的是Nimble插件，它是Shiro之上的一层UI。它允许您管理用户、角色、组、自助服务帐户创建、电子邮件等。并且很容易集成到您的应用程序中。不用写那么多代码对我来说是一个巨大的胜利。它还允许与OpenId、facebook和其他公司集成。

如果Nimble为SpringSecurity工作，我可能会选择它，但我认为这对我来说是一个巨大的胜利。

Answer 3

我使用过这两个框架，并且喜欢Shiro与Spring相比的工作方式。我不知道为什么Spring Security这么受欢迎。与Shiro不同，只要需要配置，Spring Security就会在整个应用程序中运行。安全性不是大多数应用程序的交叉关注点吗？如果是这样的话，将它隔离到一个位置不是“更干净的代码”吗？我的两点意见。