我正在为新产品设计安全子系统。系统要求如下:
在继续实现 Spring Security (2.x) 缺乏的大部分功能之前,我想知道是否有人熟悉并可以推荐一个可能已经实现/支持这些要求的包?理想情况下,JAR + WAR 可以放入项目中并支持所有现成的东西。
谢谢
【问题讨论】:
标签: java spring spring-security
不完全是您要查找的内容,但您可能有兴趣查看jSecurity。这是一个经过深思熟虑的安全框架,可以处理身份验证、授权和细粒度的权限。但据我所知,就像Spring Security 一样,他们尽量不对这些数据的存储和组织方式做出假设。 (例如,我还没有在数据库中找到用户、角色、权限等的参考实现。)
请注意,JSecurity 项目已永久移至 Apache 软件基金会,现在称为 Apache Shiro 项目。
【讨论】:
你问的很有趣,我也有一个非常相似的需求,并且已经搜索了一段时间。我放弃了,开始自己做,在过去的两周里取得了一些不错的进展。目前我支持不一定是 Long 的域 id,它可以是诸如通配符字符串之类的任何东西,以表示可以授予权限(ROLE、GROUP、USER)或字符串 id 甚至沿着。可以定义多个权限类型,每个权限类型都具有其权限或权限集,并且这些权限类型可以分配给受保护实体的支持,并且实例受它们的保护,因此您没有最多 32 个可能权限的限制系统。您也可以在 ACL 配置中使用任何实际或虚拟实体。所有这些都基于具有方法表达式支持的 Spring 安全性的新 (3.0.0.R1) 并且运行良好。整个事情使用休眠,因此您可以利用透明持久性和分布式缓存。有很多粗糙的边缘,但作为概念证明是预期的。无论如何,如果您有兴趣,请告诉我,我们可以合作使这对我们以及可能对其他人有用。
【讨论】: