Czy jest dostępny pakiet zabezpieczeń dla Java w wersji Spring Security?

Question

Projektuję podsystem bezpieczeństwa dla nowego produktu. System wymaga następujący:

• Complex użytkownika/grupy/wzór pozwolenia, zarówno poziomu usług i na poziomie domeny (ACL)
• Administracja UI dla powyższych
• regulaminu dokonywanych na działania użytkownika (konta Wyłącz w przypadku nieudanego logowania, wymagań dotyczących złożoności hasła itp.).

Zanim przejdziemy do przodu i wdrożyliśmy większość funkcji, których brakuje Spring Security (2.x), zastanawiałem się, czy ktoś jest zaznajomiony z pakietem, który może już implementować/obsługiwać te wymagania i czy może go polecić? idealnie JAR + WAR, które można wrzucić do projektu i obsługiwać wszystko od ręki.

Dzięki

Answer 1

Ciekawe pytasz, mam również bardzo podobne wymagania i zostały poszukiwania to na chwilę. Poddałem się i zacząłem robić to sam, i mam pewne dobre postępy w ciągu ostatnich 2 tygodni. Obecnie mam wsparcie dla identyfikatorów domen, które niekoniecznie są długie, może to być dowolny ciąg, taki jak ciąg znaków wieloznacznych, oznaczający grupę rzeczy, które mogą zostać nadane przez uprawnienie (ROLA, GRUPA, UŻYTKOWNIK) lub identyfikator String, a nawet długi. Można zdefiniować wiele typów uprawnień, każdy z ich zestawami uprawnień i te typy uprawnień mogą zostać przypisane jako obsługiwane dla zabezpieczonego obiektu, a instancje będą przez nie chronione, więc nie masz ograniczenia maksymalnie 32 możliwych uprawnień w całej system. Można również użyć dowolnego rzeczywistego lub wirtualnego elementu w konfiguracji ACL. Wszystko to opiera się na nowej (3.0.0.R1) ochronie Springa z obsługą wyrażeń metod i działa całkiem nieźle. Całość wykorzystuje hibernację, dzięki czemu można wykorzystać przezroczystą trwałość i rozproszone buforowanie. Istnieje wiele ostrych krawędzi, ale jako dowód koncepcji jest oczekiwany. W każdym razie daj mi znać, jeśli jesteś zainteresowany i możemy współpracować, aby ta informacja była dla nas użyteczna i prawdopodobnie także dla innych.

Answer 2

Nie dokładnie to, czego szukasz, ale być może zainteresuje Cię sprawdzenie jSecurity. Jest to dobrze przemyślana platforma bezpieczeństwa, która obsługuje uwierzytelnianie, autoryzację i drobiazgowe uprawnienia. Ale z tego, co mogę zebrać, podobnie jak Spring Security, starają się nie zakładać, jak te dane są przechowywane i uporządkowane. (Nie znalazłem na przykład referencyjnej implementacji dla użytkownika, ról, uprawnień itp. W bazie danych).

Należy zauważyć, że projekt JSecurity został na stałe przeniesiony do Apache Software Foundation i jest obecnie znany jako Apache Shiro projekt.