Параметры Java для аутентификации веб-пользователей

Question

Я ищу компонент безопасного входа пользователя / управления сеансом для общедоступного веб-приложения. У Spring Security, кажется, есть потенциал, есть ли другие высококачественные альтернативы?

Концептуально это легко, и в настоящее время у нас есть код, который работает нормально, но я бы предпочел использовать код, который был публично проверен на наличие недостатков безопасности.

Потребность:

• Логин
• Выйти
• Безопасное управление токеном сеанса (токен не может быть угадан)
• Срок действия сессии
• Поддержка Java / Tomcat

Answer 1

Apache Shiro , ранее известный как Ki и JSecurity до этого, - это мощная и гибкая инфраструктура безопасности с открытым исходным кодом, которая чисто обрабатывает аутентификацию, авторизацию, управление сеансами предприятия и криптографию «. Это было некоторое время (первый публичный выпуск от 18.04.2006) и в настоящее время находится в инкубаторе Apache. Просто подумал, что упомяну это как альтернативу Spring Security (хотя сам предпочитаю Spring Security).

Answer 2

Если Tomcat не является жестким требованием, вы можете рассмотреть вопрос о развертывании своего приложения на сервере Sun Glassfish. Glassfish - эталонная реализация для технологий Java EE, включающая поддержку безопасности . Glassfish имеет солидную репутацию и имеет высокие оценки по простоте применения.

Answer 3

Spring Security ранее acegi, это еще один вариант с открытым исходным кодом. Если вы используете пружину, это отличный вариант