Tôi biết không có gì liên quan đến mô hình bảo mật của Java, bao gồm cấu hình XML, cài đặt chính sách, bất kỳ thành phần khung bảo mật, công cụ (chẳng hạn như kho khóa, v.v.) và mọi thứ ở giữa.Apache Shiro & Java Security cho người mới
Mặc dù tôi hiểu nó cuối cùng sẽ trở thành thiết yếu cho tôi để xắn tay áo của tôi và học hỏi bảo mật Java chuyên sâu, tôi đã tự hỏi nếu sử dụng một cái gì đó như Apache Shiro sẽ giúp dễ dàng chuyển đổi một chút. Như vậy, tôi có một vài mối quan tâm với nó.
Shiro, về cơ bản, là "chìa khóa trao tay, trình bao bắt" để thực hiện bảo mật trong các ứng dụng Java (và đặc biệt hơn là các ứng dụng web). Có nghĩa là, ai có thể cấu hình Shiro với dự án của họ và về cơ bản điều chỉnh nó làm tất cả các cấu hình, thiết lập chính sách, vv mà một trong những sẽ phải làm "bằng tay" (từng phần) mà không có nó? Nếu không, những gì thiếu sót Shiro có (những gì là một số những điều lớn Shiro không thể làm cho tôi đó là quan trọng)? Có bất kỳ lỗ hổng lớn nào mà Shiro không giải quyết được không?
Cùng một dòng, tôi đã nghe những điều tốt đẹp về khung công tác ESAPI của OWASP. Aybody có kinh nghiệm với cả hai? ESAPI và Shiro có thể được cấu hình để làm việc cùng nhau hay chỉ đơn giản là một thỏa thuận loại "một hoặc loại" nhị phân khác?
Cảm ơn trước!
Yêu cầu thực tế của bạn là gì? – sourcedelica
Yêu cầu của tôi là: (1) Tôi cần biết liệu Shiro và ESAPI có loại trừ lẫn nhau hay không, và (2) Shiro có cung cấp tất cả sự bảo mật giống như một ứng dụng web nếu không có nó. – IAmYourFaja