【发布时间】:2018-12-15 13:25:08
【问题描述】:
我一直在研究处理身份验证和授权的几个框架(Apache Shiro、Spring Security、JAAS、Apache Wicket),并且想知道 JAAS 的缺点。
我一直在阅读它更复杂,只提供基本的安全性,但我不太明白这意味着什么。另外,我听说如果需要将应用程序移植到另一个系统,我就不要使用它——这是为什么呢?
【问题讨论】:
标签: spring-security shiro jaas
【发布时间】:2018-12-15 13:25:08
【问题描述】:
“它只提供基本的安全性”是无稽之谈。 JAAS 是一个框架,您可以在其中编写所需的任何内容,因此它可以提供您希望它提供的任何内容,从简单的身份验证到任何级别的基于角色的授权,与容器管理的身份验证相关联,恕我直言,这是唯一理智的管理网络应用安全的方法。
我觉得 JAAS 编程模型有点奇怪,有点从里到外,但你可以用它做一些非常强大的事情:例如,我构建了一个 web 应用程序,它可以通过任何一种表单、会话票证、自动过期等方式接受登录。登录令牌(例如用于密码重置)或客户端 SSL 证书,实际上它非常适合此类场景。
【讨论】: