【发布时间】:2011-09-04 09:12:12
【问题描述】:
为了开发我的第一个 JSF 2.0 应用程序,我使用 GlassFish v3.1,计划在 JBoss 6 上进行部署。是否有可在两个服务器上工作并支持基于 JDBC 的登录的库?我已阅读有关 Apache Shiro 的信息,这是该场景的一个选项还是您会推荐其他库?
【问题讨论】:
标签: authentication jsf-2 java-ee-6 glassfish-3 jboss6.x
【发布时间】:2011-09-04 09:12:12
【问题描述】:
Shiro 不仅可以满足您在 Java EE 应用程序中的需求。在此过程中随时提出任何问题 - 您会找到一个有用的社区!
【讨论】:
Apache Shiro 不基于 Java EE 安全性。我真的会使用后者(在 web.xml、ejb 注释中指定安全性,...)。 Glassfish 中的登录模块(自定义的或现有的)或 jboss 等效项应该处理身份验证/组/角色。我真的不会使用有标准解决方案(=基于规范)的非标准库。
【讨论】:
-
登录模块?我从来没有遇到过真正喜欢使用 JAAS 的人,更不用说很好地理解它了。 JEE 安全性一直是(和所有 JEE 规范一样)“最小公分母”解决方案。此外,JEE 安全性不会为您的应用程序处理细粒度的访问控制 - Shiro 可以。最重要的是,有一个事实上的解决方案可以满足开发人员真正想要 的需求。 Shiro 已经存在 8 年了(以前称为 JSecurity),它是一个拥有强大社区的 Apache 顶级项目,并且还会存在很多年。这是一个非常可行的选择。
-
好吧,那我就是你的反例。 :-) 我同意它是“最小公分母”,所以我会说将它用于它的设计用途,并使用特定解决方案进行细粒度检查(您可以很简单地查询您编写的特定服务需要的时候)。让我们不要太深入 JEE Specs,但是现在有很多成功的例子。
-
如果 Apache Shiro 和 JAAS 能够相互补充会很有趣,因为身份验证功能存在重叠。
-
> 我真的不会使用非标准库 - 如果您使用的是 GlassFish 特定的登录模块,那么您也在这样做。为什么不使用或推荐标准的 Java EE 身份验证模块? Java EE 6 为此引入了 JASPIC。
-
@ArjanTijms glassfish 登录模块本身并不是标准的,但从应用程序的角度来看,除了 Java EE 6 api 之外,您无需使用任何东西。您可以使用 JSR-196 (JASPIC),但它更侧重于消息。您可以在那里进行身份验证,尽管有时最好使用它从 http(http 基本、表单、会话...)获取身份验证消息并转发到(专有 :-( ) 登录模块。不过,应用程序不会看到它,只会使用标准 API。