Spring Security offre molti potenti meccanismi di sicurezza ma non si adatta correttamente in un ambiente EE (EJB) Java. Un problema è che Spring Security memorizza SecurityContext in un oggetto ThreadLocal che non è adatto per i cluster. Spring Security si basa su servizi (ad esempio AOP) di Spring core che non sono disponibili se il contenitore EJB gestisce l'oggetto. E Spring Security ha bisogno del core Spring per cablare se stesso, cosa che vorrei evitare dato che Java EE ha già meccanismi di iniezione delle dipendenze.Framework come Spring Security per Java EE?
Esiste un framework di sicurezza su misura per Java EE? Mi piacerebbe avere ACL o meccanismi di ruolo più flessibili, ad esempio.
Quando si dice Java EE, si intende la sicurezza specifica per gli EJB? –
Sì, l'obiettivo principale di sicurezza sono EJB, ma il framework dovrebbe anche essere in grado di proteggere servlet o servizi Web. – deamon