Framework come Spring Security per Java EE?

Spring Security offre molti potenti meccanismi di sicurezza ma non si adatta correttamente in un ambiente EE (EJB) Java. Un problema è che Spring Security memorizza SecurityContext in un oggetto ThreadLocal che non è adatto per i cluster. Spring Security si basa su servizi (ad esempio AOP) di Spring core che non sono disponibili se il contenitore EJB gestisce l'oggetto. E Spring Security ha bisogno del core Spring per cablare se stesso, cosa che vorrei evitare dato che Java EE ha già meccanismi di iniezione delle dipendenze.Framework come Spring Security per Java EE?

Esiste un framework di sicurezza su misura per Java EE? Mi piacerebbe avere ACL o meccanismi di ruolo più flessibili, ad esempio.

fonte

2010-02-11 deamon

Quando si dice Java EE, si intende la sicurezza specifica per gli EJB? –

Sì, l'obiettivo principale di sicurezza sono EJB, ma il framework dovrebbe anche essere in grado di proteggere servlet o servizi Web. – deamon

Se né il modello di sicurezza Java EE né Spring Security si adattano alle proprie esigenze, allora temo che sarà necessario implementare la propria soluzione personalizzata, magari un JAAS personalizzato LoginModule, poiché non si troverà nulla di equivalente (almeno non nel mondo open source per quanto ne so). Ma sappi che JAAS non è davvero un'API piacevole e questo non sarà un compito facile. Altre risorse su questo argomento in Further Information about Security (vedere la parte inferiore della pagina).

fonte

2010-02-12 01:00:34

Hai provato Seam Security? Supporta ACL, se ricordo bene.

fonte

2010-05-20 08:43:38

Framework come Spring Security per Java EE?

risposta

Problemi correlati