Sto provando a proteggere la mia applicazione che è costruita usando JSF2.0.Quando passare dalla sicurezza gestita da Container a alternative come Apache Shiro, Spring Security?
Sono confuso su quando le persone scelgono di andare con alternative di sicurezza come Shiro, Spring Security o esapi di owasp che lasciano la sicurezza gestita dal container. Avendo visto alcuni di related questions su Stack Overflow, mi sono reso conto che la sicurezza basata su container era stata preferita dagli sviluppatori JSF in passato. Ma ho anche raccomandato vivamente di usare Apache Shiro. Sono alle prime armi in termini di problemi di sicurezza e non ho idea di quali potrebbero essere i problemi rilevanti & come gestirli. Quindi sto cercando qualcosa che gestisca la maggior parte dei problemi di sicurezza attraverso le sue impostazioni predefinite/da solo.
In termini di requisiti dell'applicazione, dispongo di un'applicazione social in cui utenti con ruoli diversi hanno accesso a diversi set di pagine e possono utilizzare diversi livelli di funzionalità in tali pagine in base ai rispettivi ruoli.
In tal caso, cosa pensi che potrebbe essere una buona opzione per me?
Personalmente sono stato convinto di optare per Shiro poiché è facile da usare e si prende cura della maggior parte delle cose per i principianti.
Chi lo ha consigliato e quali motivi hanno dato? – EJP
ragioni erano: "con shiro è abbastanza facile configurare la sicurezza, shiro si prende cura della maggior parte dei problemi attraverso le sue impostazioni predefinite, i meccanismi di sicurezza Java esistenti come JAAS sono troppo confusi ecc ecc. Ed è più adatto per un novizio come io che non so molto sui problemi di sicurezza " –
Bene, quindi assumendo tutto ciò che è vero, qual è esattamente la tua domanda? – EJP