Как вы делаете Auth с AuthenticationFilter и RequestContext?

Question

Мы создаем веб-приложение GWT + hibernate + spring, которое развернуто на tomcat и postgres.Рассматривая http://code.google.com/p/google-web-toolkit-incubator/wiki/LoginSecurityFAQ и http://www.owasp.org/index.php/Hashing_Java#Complete_Java_Sample, У нас есть таблица User и таблица ролей (4-5 ролей, для начала).

Различным слоям приложения необходим доступ кв настоящее время вошли в информацию о пользователе (например, loginId, locale и т. д.), поэтому я подумываю добавить AuthenticationFilter, который будет аутентифицировать каждый запрос Http и создать ThreadLocal RequestContext, который будет содержать различные атрибуты пользователя.также подумывает о наличии AuthCache, который будет хранить ConcurrentHashMap с sessionIds и loginIds.AuthenticationFilter будет использовать AuthCache для аутентификации.

Я понимаю, что Spring Security и Apache Shiro (http://incubator.apache.org/projects/shiro.html), вероятно, являются лучшими способами, но у меня очень мало времени, чтобы сделать это, поэтому пока пропускаем.

Просто хотел бы узнать, есть ли лучшие способы сделать это? Существует ли существующий код, который делает это правильно, чтобы моя реализация не имела много дыр?

Answer 1

Просто хотел узнать, есть ли лучшие способы сделать это?Существует ли существующий код, который делает это правильно, так что моя реализация не имеет много дыр?

Это, вероятно, не ожидаемый ответ, но как насчет Spring Security?Spring Security требует некоторых усилий, но

• он просто работает
• он широко используется
• он, скорее всего, более безопасен, чем пользовательская разработка

И я не уверен, что разработка на заказ займет меньше времени, чем интеграция Spring Security.

На всякий случай, если вы захотите пересмотреть эту опцию, вот небольшой учебник.Стоит прочитать IMO.

• Spring Security - учебное пособие: повышение безопасности в Spring Petclinic