是否有任何基于Spring安全的可生产的Java安全包？

Question

我正在为一个新产品设计安全子系统。该系统要求如下：

• 复杂的用户/组/权限模型，包括服务级和域级(ACL)
• 上述管理用户界面
• 对用户操作执行的规则(登录失败时帐户禁用、密码复杂性要求等)。

在继续并实现Security (2.x)所缺乏的大多数特性之前，我想知道是否有人熟悉并推荐可能已经实现/支持这些需求的包？理想情况下，JAR + WAR可以投到项目中，支持所有现成的东西。

谢谢

Answer 1

不完全是您想要的，但您可能对查看jSecurity感兴趣。它是一个经过深思熟虑的安全框架，它处理身份验证、授权和细粒度权限。但是从我所能收集到的信息来看，就像弹簧安全一样，他们尽量不去假设这些数据是如何存储和组织的。(例如，我还没有在数据库中找到用户、角色、权限等的引用实现。)

请注意，JSecurity项目已永久转移到，现在称为阿帕奇·希罗项目。

Answer 2

有趣的是，你问，我也有一个非常类似的要求，并已搜索了一段时间。在过去的两周里，我放弃了，开始自己做这件事，并取得了一些不错的进步。目前，我对域id的支持并不一定很长，它可以是任何东西，比如一个通配符字符串，用来表示一组可以授予权威机构(角色、组、用户)或字符串id甚至长的东西。可以定义多个权限类型(每个权限类型或权限集)，并且可以将这些权限类型分配给受保护的实体，并由它们保护实例，因此您在整个系统中没有最多32种可能权限的限制。此外，还可以使用ACL配置中的任何实际实体或虚拟实体。所有这些都是基于Spring安全性的新特性(3.0.0.R1)和方法表达式支持的，它运行得相当好。整个过程使用hibernate，这样您就可以利用透明的持久性和分布式缓存。有很多粗糙的边，但作为一个概念的证明，它的期望。无论如何，让我知道如果你有兴趣，我们可以合作，使这对我们，并可能对其他人也有用。