0

我一直在研究几个处理身份验证和授权的框架(Apache Shiro、Spring Security、JAAS、Apache Wicket),并且想知道 JAAS 的缺点。

我一直在读它更复杂,只提供基本的安全性,但我不太明白这意味着什么。另外,我听说如果应用程序需要移植到另一个系统,我就不要使用它——这是为什么呢?

4

1 回答 1

0

“它只提供基本的安全性”是无稽之谈。JAAS 是一个框架,您可以在其中编写所需的任何内容,因此它可以提供您想要提供的任何内容,从简单的身份验证到任何级别的基于角色的授权,与容器管理的身份验证相关联,恕我直言,这是唯一理智的管理 Web 应用程序安全性的方法。

JAAS 编程模型我觉得有点奇怪,从里到外,但你可以用它做非常强大的事情:例如,我构建了一个 web 应用程序,它可以通过表单、会话票证、过期自动登录令牌(例如用于密码重置)或客户端 SSL 证书,实际上它非常适合此类场景。

于 2018-07-07T04:46:46.203 回答