spring-security - 与 Spring Security/Apache Shiro 相比,JAAS 的缺点是什么?
问题描述
我一直在研究几个处理身份验证和授权的框架(Apache Shiro、Spring Security、JAAS、Apache Wicket),并且想知道 JAAS 的缺点。
我一直在读它更复杂,只提供基本的安全性,但我不太明白这意味着什么。另外,我听说如果应用程序需要移植到另一个系统,我就不要使用它——这是为什么呢?
解决方案
“它只提供基本的安全性”是无稽之谈。JAAS 是一个框架,您可以在其中编写所需的任何内容,因此它可以提供您想要提供的任何内容,从简单的身份验证到任何级别的基于角色的授权,与容器管理的身份验证相关联,恕我直言,这是唯一理智的管理 Web 应用程序安全性的方法。
JAAS 编程模型我觉得有点奇怪,从里到外,但你可以用它做非常强大的事情:例如,我构建了一个 web 应用程序,它可以通过表单、会话票证、过期自动登录令牌(例如用于密码重置)或客户端 SSL 证书,实际上它非常适合此类场景。
推荐阅读
- sql - 在 sqlite 中按相同的输入排序
- mysql - MySQL中的表创建导致模糊错误
- r - 如何在多列中保持最小值并使所有其他行值在 R 中为 0
- cmake - 使用外部附加头文件构建 cmake 对象库
- node.js - NodeJS - 在 Node 中使用多个读取流和单个写入流的正确方法是什么?
- linux - 如何在 bash shell 脚本中打印条件语句
- python - 借助 python 脚本在 2 个 EC2 实例之间传输文件
- python - Python ConnectionError: HTTPSConnectionPool(host='finance.yahoo.com', port=443): 读取超时
- azure - 我们可以为 Azure 中的多个资源分配多个角色吗?
- php - TableSorter 和列的行上的链接