我对 Java 的安全模型几乎一无所知,包括 XML 配置、策略设置、任何安全框架组件、工具(例如密钥库等)以及介于两者之间的所有内容。
尽管我知道卷起袖子深入学习 Java 安全性最终对我来说是必不可少的,但我想知道使用 Apache Shiro 之类的东西是否有助于简化过渡。因此,我对此有一些担忧。
Shiro 本质上是一个“交钥匙、包罗万象的包装器”,用于在 Java 应用程序(尤其是 Web 应用程序)中实现安全性。意思是,一个人可以用他们的项目配置 Shiro 并从本质上调整它来完成所有相同的配置、策略设置等,如果没有它,一个人必须“手动”(零碎地)做吗?如果没有,Shiro 有什么缺点(Shiro 不能为我做的一些重要的事情是什么)?有没有 Shiro 根本没有解决的大漏洞?
同样,我听说过关于 OWASP 的 ESAPI 框架的好消息。有人有这两个方面的经验吗?ESAPI 和 Shiro 是否可以配置为一起工作,或者它只是二进制“一个或另一个”类型的交易?
提前致谢!
The short answer is yes. Both Shiro and ESAPI can work together, although there is a lt of redundant functionality between the two APIs. Shiro gives you everything you need for covering the standard Java security model. ESAPI goes above and beyond by providing OWASP's globally-standardized security mechanisms.
Shiro should be used by novices like myself who really don't understand Java security and/or general applications/server security. It takes care of a lot of things for the security-ignorant. ESAPI should be used by programming security professionals that already understand Java security and want to leverage not only everything that comes with Java EE but need to go the extra mile and make things even more secure.