我一直在研究处理身份验证和授权的几个框架(Apache Shiro,Spring Security,JAAS,Apache Wicket),并且想知道JAAS的缺点。
我一直在读,它比较复杂,仅提供基本的安全性,但是我不太明白这意味着什么。另外,如果应用程序需要移植到另一个系统,我听说过不使用它-为什么?
答案 0 :(得分:0)
“仅提供基本安全性”是胡说八道。 JAAS是一个框架,您可以在其中编写所需的任何内容,因此它可以提供您想要提供的任何内容,从简单身份验证到任何级别的基于角色的授权,再加上容器管理的身份验证,IMHO是唯一的明智之举。管理Web应用安全性的方法。
我发现JAAS编程模型有些怪异,但由内而外,但是您可以用它做一些非常强大的事情:例如,我构建了一个Webapp,该Webapp可以通过表单,会话票证,自动终止过期来接受登录。登录令牌(例如用于密码重置)或客户端SSL证书,实际上,它非常适合此类情况。