Фреймворк как Spring Security для Java EE?

Question

Spring Security предлагает множество мощных механизмов безопасности, но он не вписывается в среду Java EE (EJB). Одна из проблем заключается в том, что Spring Security хранит SecurityContext в объекте ThreadLocal, который не подходит для кластеров. Spring Security использует службы (например, AOP) из ядра Spring, которые недоступны, если EJB-контейнер управляет объектом. А для Spring Security необходимо ядро ​​Spring, чтобы связать себя, чего я бы хотел избежать, поскольку в Java EE уже есть механизмы внедрения зависимостей.

Существует ли структура безопасности, специально разработанная для Java EE? Я хотел бы иметь ACL или более гибкие механизмы ролей, например.

Answer 1

Если ни модель безопасности Java EE, ни Spring Security не удовлетворяют вашим потребностям, то, боюсь, вам придется развернуть собственное решение - возможно, пользовательское JAAS LoginModule - поскольку вы не найдете ничего эквивалентного (по крайней мере, не в мире открытого исходного кода, насколько мне известно). Но имейте в виду, JAAS не очень приятный API, и это не будет легкой задачей. Дополнительные ресурсы по этой теме в Дополнительная информация о безопасности (см. Внизу страницы).

Answer 2

Вы пробовали Seam Security? Он поддерживает ACL, если я правильно помню.