我在 Google 和 Stackoverflow 中搜索了很多关于 Java 中的 Web 应用程序安全性的信息,但我不明白哪一种模式最适合我的 Web 应用程序。
我想使用 JSP/Servlet 并且我的网络服务器是 Tomcat 。
Web 应用程序的安全性对我们来说非常重要,但我真的不知道我必须做什么?或最好的方法是什么?!
我研究了 Tomcat Realm、Acegi、Spring Security .....
谢谢你。
好好看看 Container Managed Authentication。它是 Servlet 规范的一部分,因此不依赖于服务器。大部分繁重的工作都是由容器完成的。您只需提供一个 JAAS LoginModule 来连接您的用户数据库、验证他的身份并设置他的角色。其余的只是 web.xml 配置哪些 URL 需要哪些角色来访问它们。
如果您使用 Spring 和 Spring Security 一起使用(Acegi 是 Spring security 的旧版本)。如果不使用Shiro。由于服务器依赖性和单元测试,我不赞成 tomcat 领域。
我也会投票支持 Spring 安全性。有一个最新的 Spring 3.0 版本,而不是 ACEGI 安全性及其安静的灵活性。确保你理解语义。请看一下
捆绑了一些示例应用程序。您可以下载其中任何一个,在 tomcat 中部署战争,并查看示例代码以便更好地理解。希望这会有所帮助,本