JAAS / JAAC, DROOLS или обычай

Question

Я использовал свою собственную внутреннюю пользовательскую модель авторизации, которая оценивает, имеет ли пользователь разрешение на просмотр, редактирование, удаление или создание элемента. Например, я использую это место, чтобы определить, есть ли у пользователя разрешение на просмотр ресурса. У меня есть некоторые ограничения, например, опубликован ли элемент, принадлежит ли пользователь к нужной группе / роли и т. Д.

Я храню всю эту информацию в базе данных, где я проверяю разрешения и кто их изменил для данной сущности. Чтобы оценить, есть ли у пользователя разрешение, у меня есть Hibernate Event Listener, который берет текущего пользователя и другую контекстную информацию и сравнивает ее с объектом.

Является ли это хорошей моделью безопасности, лучше ли здесь будут работать JAAS / JAAC или DROOLS?

Answer 1

Spring Security и Shiro, вероятно, являются наиболее широко используемыми средами безопасности, и я бы, вероятно, использовал их для проекта прямо сейчас.Однако стыдно иметь слой поверх сервера приложений, когда сервер приложений полностью протестирован и имеет встроенную систему безопасности (JAAS).Я с нетерпением жду возможности увидеть, что может предложить PicketBox , Seam Security 3.0 построен на нем, и, кажется, более естественно вписывается в то, что сервер приложений уже предлагает, просто с некоторыми приятнымитакие функции, как поддержка открытого идентификатора.

Answer 2

Вместо JAAS или решения на основе механизма правил я бы рассмотрел Apache Shiro (ранее JSecurity) для подключаемой и гибкой аутентификации и авторизации .Взгляните на Что такое Широ? .

Но если у вас есть рабочее решение, почему бы не придерживаться его, если оно выполнит свою работу.

Answer 3

Я понимаю, что немного опаздываю на вечеринку, но Spring Security также довольно надежный вариант, в частности, его модуль ACL может сделать многое из того, что вы ищете.