【问题标题】:Spring Web Application Authentication (advise)Spring Web 应用程序身份验证(建议)
【发布时间】:2014-08-18 17:06:38
【问题描述】:

我将开始开发具有多个模块的 Web 应用程序系统。该系统将基于 Springframework 构建,这就是我要使用 Spring Security 的原因。但是,我对认证系统的选择有疑问。

这个想法是创建将由 extjs 页面(在 Web 应用程序的情况下)和移动应用程序使用的 restufull 服务。

请建议替代身份验证系统(更新)。我在系统安全方面的专业知识很少,我担心如何在保持高响应速度的同时保护用户凭据。

【问题讨论】:

    标签: spring security extjs spring-security


    【解决方案1】:

    即使您之前没有使用 Spring Security 的经验,我仍然建议您使用它:

    • 开箱即用,配置工作量最少。
    • 有很多可用的支持,因为它已成为许多全栈解决方案的事实上的标准安全实现。您不太可能遇到以前未解决的问题
    • Spring Security 非常健壮且经过良好测试。
    • 开箱即用的集成几乎适用于我能想到的任何东西
    • 最后,spring-security 被用于springframework。集成是完美的。为什么要放弃框架必须提供的最佳部分?

    响应速度不应成为选择安全框架时的标准。由于糟糕的软件设计或配置问题,通常响应速度很慢。我从未遇到过因所选安全框架而运行缓慢的系统。

    几年前我开始使用 Spring Security。我花了不到一周的时间来设置它,从那以后它一直正常工作。

    【讨论】:

    • 感谢您的回答。我从几个月前开始使用 Spring Security,但方式很简单,而且它看起来很棒,所以这就是我要在这个项目中使用它的原因。你能推荐我任何开源 IAM 系统吗?
    • @user2378554 并非如此,这取决于您的需求(公共、私人、军事、单点登录等)。通常 IAM 系统来自客户端,您将不得不接受他们提供/使用的内容。在我自己的项目中,我使用了 AD 和 OpenLDAP。 OpenLDAP 非常好,我推荐它。我有一些同事使用 OpenId 作为 SSO 的身份验证基础,他们说它工作得很好。但是,我对 OpenID 没有个人经验。
    【解决方案2】:

    如果您需要进行简单的身份验证,那么这可以很容易地实现,在部署描述符中提及它,您可以指定授权约束、资源的安全约束、身份验证机制等等。请看看这个链接:

    http://docs.oracle.com/javaee/6/tutorial/doc/gkbaa.html

    【讨论】:

      猜你喜欢
      • 2013-11-19
      • 1970-01-01
      • 2012-09-25
      • 2018-08-11
      • 2012-09-09
      • 1970-01-01
      • 2018-03-05
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多