面向新手的 Apache Shiro 和 Java 安全性

Question

我对 Java 的安全模型几乎一无所知，包括 XML 配置、策略设置、任何安全框架组件、工具（如密钥库等）以及介于两者之间的一切。

虽然我知道卷起袖子深入学习 Java 安全性最终将成为必不可少的，但我想知道使用 Apache Shiro 之类的工具是否有助于简化过渡。因此，我对此有一些担忧。

Shiro 本质上是一个“统包、包罗万象的包装器”，用于在 Java 应用程序（尤其是 Web 应用程序）中实现安全性。意思是，一个人可以用他们的项目配置 Shiro 并从本质上调整它来完成所有相同的配置、策略设置等，如果没有它，一个人必须“手动”（零碎地）做吗？如果没有，Shiro 有什么缺点（有哪些大事 Shiro 不能为我做重要的事情）？有没有 Shiro 根本没有解决的大漏洞？

同样，我听说过关于 OWASP 的 ESAPI 框架的好消息。有人有这两个方面的经验吗？ ESAPI 和 Shiro 是否可以配置为一起工作，或者它只是一种二进制“一种或另一种”类型的交易？

提前致谢！

Answer 1

简短的回答是肯定的。 Shiro 和 ESAPI 可以一起工作，尽管这两个 API 之间存在一些冗余功能。 Shiro 为您提供涵盖标准 Java 安全模型所需的一切。 ESAPI 超越了提供 OWASP 的全球标准化安全机制。

Shiro 应该由像我这样真正不了解 Java 安全性和/或一般应用程序/服务器安全性的新手使用。它为安全无知的人处理了很多事情。 ESAPI 应该由已经了解 Java 安全性并且不仅希望利用 Java EE 附带的所有功能但需要加倍努力并让事情更加安全的编程安全专业人员使用。