针对非web应用程序的安全架构建议

Question

我在一个独立的环境中使用Spring3.1。

虽然我使用的是Spring，但我相信还有其他的Java-ee框架(EJB，..)我可以从中吸收一些想法。

我正在尝试构建我的安全层架构，我希望根据您的经验，我应该如何做到这一点。

我的应用程序(非web应用程序)连接到外部协议。

当您实现该协议时，它负责所有的连接层，包括登录。

在用户登录后，他可以执行某些命令，如: subscribe、unsubscribe等。

当我的应用程序收到登录触发器时，我通过id向数据库中的用户进行身份验证，然后通过该协议，我以拒绝或成功消息进行响应。

在认证成功后，我可以通过外部协议从用户那里获得某些消息(订阅、取消订阅等)。

我应该如何用安全层包装我的应用程序？

我想过计划一个方面，并为每个方法创建auth方法，以再次检查用户是否真的登录了？

如何管理所有已登录/未登录的用户。

也许协议层(我上面提到的)对我来说就足够了？

任何想法都将受到欢迎。

谢谢你，雷。

Answer 1

你应该看看http://static.springsource.org/spring-security/site/