什么时候从Container管理的安全性转移到Apache Shiro,Spring Security等替代方案?
我试图保护使用JSF2.0构建的应用程序的安全。
人们何时选择使用Shiro,SpringSecurity或owasp的esapi等安全性替代方案,而又放弃了容器管理的安全性,我感到困惑。看到的一些相关问题后,我意识到过去JSF开发人员更喜欢基于容器的安全性。但是也强烈建议我使用Apache
Shiro。我在安全问题方面是新手,不知道可能是什么相关问题以及如何处理它们。因此,我正在寻找一种可以通过其默认设置/自行处理大多数安全问题的方法。
根据我的应用程序要求,我有一个社交应用程序,其中具有不同角色的用户可以访问不同的页面集,并且可以根据其角色在这些页面上使用不同级别的功能。
在那种情况下,您认为什么对我来说是一个不错的选择?
我个人已经说服了Shiro,因为它易于使用并且可以为新手处理大部分事情。
问题答案:
除了以下内容外,我对Apache
Shiro一无所知,但您引用的内容几乎是逐字逐句地从其Web页面上提取的,该页面包含一些错误陈述,例如“
[JAAS]必需的静态定义,只有程序员才能更改”,而“
JAAS是与虚拟机级别的问题过于紧密地联系在一起”,并且暗示JAAS与用户和角色无关,这完全是错误的。我要说服许多人摆脱容器管理的安全性。它是Servlet规范的一部分,因此任何容器都必须支持它。这是众所周知的;没有第三方的JDK类支持它;…对我有用;-)
-
问题内容: 什么时候用Java thread.run()代替thread.start()? 问题答案: 你可能要在特定于功能而不是并发的特定单元测试中调用run()。
-
我正在寻找一个好的安全框架,允许注释基于参数的方法访问规则。 基本上,我想检查是否允许通过身份验证的用户以特定对象作为参数调用某个方法。 null 有什么建议吗?
-
有没有办法给管理servlet增加登录安全性? 似乎在V0.7中,您可以将以下两个添加到您的yaml文件中: 然而,我在最新版本(0.9.2)中尝试了,它给我一个错误,说:server.yaml有一个错误: 这是我拥有的:
-
问题内容: Android有自己的HashMap实现,它不使用自动装箱,并且在某种程度上可以提高性能(CPU或RAM)? https://developer.android.com/reference/android/support/v4/util/ArrayMap.html 从我在这里所读的内容中,如果我的HashMaps的大小低于数百条记录并且将被频繁写入,则应将我的HashMap对象替换为A
-
问题内容: 如数组和字典 实例方法中所述: 以与for-in循环相同的顺序在 序列 中的每个元素上调用给定的闭包。 尽管如此,改编自序列概述: 序列是您可以一次浏览一个值的列表。遍历序列元素 的最常见方法 是使用 for-in循环 。 或表示该迭代序列: 或(数组): 将给出相同的输出。 为什么还要存在?即使用它而不是循环有什么好处?从性能角度来看,它们是相同的吗? 作为一个假设,它可能是语法糖,
-
问题内容: 我正在开发JSON / REST Web API,为此,我特别希望第三方网站能够通过AJAX调用我的服务。因此,我的服务正在发送著名的CORS标头: 允许第三方站点通过AJAX调用我的服务。到目前为止一切都很好。 但是,我的Web api的一个子部分是非公开的,需要身份验证(带有OAuth和access_token cookie的相当标准的东西)。在我网站的此部分也启用CORS是否安全