在 Java EE 项目中使用 java.security.acl 的优缺点

Question

我将使用 java.security.acl 实现 访问控制列表，以便在用户帐户页面中显示允许的项目。

例如，有一些用户和用户组，用户和组可以拥有一些权限。用户帐户页面中有一些链接，它们是添加、删除、编辑和查看。所有用户的用户帐户页面都相同，但链接（添加、删除、编辑和查看）将根据用户权限显示不同。

我可以使用收集框架来完成这项任务。我将在 ERP（企业应用程序）的初始开发中使用 java.security.acl 来实现它。我想知道这个实现是否会有任何安全漏洞或某些东西（即使在将来）。为什么我怀疑when I visited a site which saysThe use of this package is not recommended。

使用这个包代替收集框架有什么好处吗？有没有什么情况需要在 Java EE 项目中实现这个包？欢迎您提出任何建议、意见和建议。

Answer 1

我想现在提供答案可能为时已晚，但我遇到了这个问题，而且我刚刚阅读了有关 ACL 的内容。

首先，java.security.acl 中的类已经被java.security 包中的类所取代，正如here 中提到的那样。作为一般政策，在进行新开发时，我更喜欢只使用最新的 API。

第二； java.security 包中的类可能仅用于保护file I/O 和network I/O 或打印机等系统资源。如上一段here 所述，保护您的应用程序的域对象并不是它们的本意。

您可以为此目的查看spring-security-acl，或推出您自己的解决方案（正如您在问题中提到的那样）。

用这个包代替集合框架有什么好处吗？

嗯，这取决于您要达到的目标，但是，就您而言，这个问题并不相关。

在Java EE项目中是否有需要实现这个包的情况？

不需要，除非您需要访问客户端上的资源，或者计划使用基于自定义套接字的 SSL/TLS 通信。