在我们的组织中,我们正在开发基于 ldap 的身份验证和单点登录授权功能。在开发此通用模块后,将有数十个其他模块依赖于它。工具集是 -
我们将拥有简单的身份验证机制但非常复杂的授权方案。我们不确定授权的正确方法是什么。我们应该将身份验证和授权逻辑放在 LDAP 中还是应该仅将其用于身份验证?在这种情况下,我们将不得不使用 OpenAM/OpenSSO。还有其他方法吗?比如spring security、CAS、JOSSO、..?无论采用何种方法,它都必须具有很强的可扩展性和可维护性。任何建议或帮助将不胜感激。
谢谢, 纳兹鲁尔
你可以看看 Apache Shiro:http ://shiro.apache.org/ 。它是一个易于使用的安全框架,支持大多数现有的安全技术,包括 LDAP 和单点登录。
此外,通过子类型 AuthenticatingRealm 和 AuthorizingRealm(来自 Shiro API),无论它们多么复杂,您都可以实现您的身份验证和授权策略。
最常见的是,您将实现自己的:
认证领域
授权领域
身份验证令牌
授权令牌
PremissionResolver
等等...
在继续做出任何决定之前,您可能会想看看这个。 http://grzegorzborkowski.blogspot.com/2008/10/spring-security-acl-very-basic-tutorial.html
对于授权,您可以查看基于 XACML(可扩展访问控制标记语言)的外部化授权框架。
它是一个 OASIS 标准,它实现了基于属性的访问控制,为您设计授权提供了很大的灵活性。