我正在寻找 java web 应用程序中用于身份验证/用户登录管理/安全性的框架/解决方案,它可以使天真的开发人员的工作更轻松/更快,并使应用程序相对更安全地抵御潜在威胁。
正如一些人建议我考虑像 Spring Security 和 Apache Shiro 这样的解决方案,我想知道它如何与 JSF 2.0一起使用。对于我的情况,使用 Shrino 而不是 Spring 安全性有什么缺点吗?
对于 JSF 应用程序还有其他更好的安全解决方案吗?
目前,我在我的 Web 应用程序中使用 JSF 2.0(带有 Facelets)作为前端开发框架,它由 NoSQL 数据库 Cassandra 提供支持。
Deluan Quintão 为 Shiro 和 JSF 提供了一个很好的解决方案,得到了 Shiro 社区的好评:
http://techbeats.deluan.com/apache-shiro-tags-for-jsffacelets
另请注意,Shiro 可以使用 Cassandra 作为后端来启用与 Servlet 容器无关的会话集群(您需要编写一个 CassandraSessionDAO 并将其插入 Shiro 的配置)。有关更多信息,请参见http://shiro.apache.org/session-management.html。
如果您不能使用应用程序服务器提供的基于本机表单的身份验证,我建议您使用 Apache Shiro,因为它与 Java EE 堆栈很好地集成在一起。Spring 安全性也很好,但是如果您打算使用 JSF 2,您可能还使用 CDI(由 Seam Weld 提供,它集成到 Glassfish 和 JBoss 的 Java EE 6 Profile 中)更容易使用 Shiro,因为 Spring 严重依赖关于它自己的依赖注入方法,虽然 Spring 安全不需要那么多注入的类,但你应该坚持一种做事方式。