Tùy chọn Java để xác thực người dùng web

Question

Tôi đang tìm kiếm thành phần quản lý đăng nhập/phiên người dùng an toàn cho ứng dụng web công khai. Spring Security dường như có tiềm năng, có bất kỳ lựa chọn thay thế chất lượng cao nào khác không?

Khái niệm điều này dễ dàng và chúng tôi hiện có mã hoạt động tốt, nhưng tôi muốn sử dụng mã đã được xem xét công khai vì các lỗi bảo mật.

Nhu cầu:

• Đăng nhập
• Thoát
• phiên bảo mật thẻ quản lý (token không đoán)
• phiên hết hạn hỗ trợ
• Java/Tomcat

Answer 1

Apache Shiro, trước đây được gọi là Ki và JSecurity trước đó, "là một khung công tác bảo mật mã nguồn mở linh hoạt và mạnh mẽ xử lý rõ ràng xác thực, ủy quyền, quản lý phiên doanh nghiệp và mật mã." Nó đã được khoảng một thời gian (phát hành công khai đầu tiên vào ngày 18 tháng 4 năm 2006) và hiện đang trong vườn ươm Apache. Chỉ cần nghĩ rằng tôi muốn đề cập đến nó như là một thay thế cho Spring Security (mặc dù tôi thích Spring Security bản thân mình).

Answer 2

Nếu Tomcat không phải là một yêu cầu khó, bạn có thể xem xét việc triển khai ứng dụng của mình trên máy chủ Glassfish của Sun. Glassfish là triển khai tham chiếu cho các công nghệ Java EE, bao gồm support for security. Glassfish có một danh tiếng vững chắc và điểm số cao về dễ quản trị.

Answer 3

bảo mật mùa xuân trước đây là acegi, là một tùy chọn nguồn mở khác. Nếu bạn đang sử dụng mùa xuân, đây là một lựa chọn tuyệt vời