Лучшие практики для аутентификации и авторизации для Java-приложений на основе Spring

Question

В нашей организации мы разрабатываем аутентификацию на основе ldap и авторизацию с функцией единого входа. При разработке этого универсального модуля появятся десятки других модулей, которые будут зависеть от него. Наборы инструментов -

• Весна
• Hibernate
• Tomcat 7
• openAm / OpenSSO
• OpenLDAP
• * 1014 PostgreSQL *

У нас будет простой механизм аутентификации, но очень сложная схема авторизации. Мы не уверены, что будет правильным подходом для авторизации. Должны ли мы поместить аутентификацию, а также логику авторизации в LDAP или мы должны использовать ее только для аутентификации? В этом случае нам придется возиться с OpenAM / OpenSSO. Есть ли другой подход? как весенняя безопасность, CAS, JOSSO, ..? Каким бы ни был подход, он должен быть очень масштабируемым и обслуживаемым. Будем весьма благодарны за любые предложения или помощь.

Спасибо, Nazrul

Answer 1

Вы можете взглянуть на Apache Shiro: http://shiro.apache.org/. Это простая в использовании структура безопасности, которая поддерживает большинство существующих технологий безопасности, включая LDAP и Single Sign On.

Кроме того, с помощью подтипов AuthenticatingRealm и AuthorizingRealm (из Shiro API) вы можете реализовать свои стратегии аутентификации и авторизации независимо от их сложности.

Чаще всего вы реализуете свои собственные:

• AuthenticatingRealm
• AuthorizingRealm
• AuthenticationToken
• AuthrozationToken

• PremissionResolver

  и тд ...

Answer 2

Для авторизации вы можете взглянуть на внешние структуры авторизации, основанные на XACML, расширяемом языке разметки управления доступом .

Это стандарт OASIS, который реализует управление доступом на основе атрибутов,дает вам большую гибкость при разработке авторизации.

Answer 3

Возможно, вы захотите взглянуть на это, прежде чем принимать какое-либо решение. http://grzegorzborkowski.blogspot.com/2008/10/spring-security-acl-very-basic-tutorial.html