在Java EE项目中使用java.security.acl的优点和缺点

时间:2013-04-11 13:03:13

标签: java security java-ee acl

我将使用 java.security.acl 实现访问控制列表,以便在用户帐户页面中显示允许的项目。

例如,有一些用户和用户组,用户和组可以拥有一些权限。用户帐户页面中有一些链接,它们是添加,删除,编辑和查看。所有用户的用户帐户页面都相同,但根据用户权限,链接(添加,删除,编辑和查看)将以不同方式显示。

我可以使用集合框架来完成此任务。我将在 ERP 企业应用程序)的初始开发中使用 java.security.acl 实现它。我想知道是否会有任何安全循环漏洞或具有此实现的东西(即使将来)。为什么我怀疑是when I visited a site which says The use of this package is not recommended

使用此软件包而不是集合框架是否有任何优势?是否有任何需要在 Java EE 项目中实现此包的情况?欢迎您提出所有建议,建议和建议。

1 个答案:

答案 0 :(得分:4)

我想提供一个答案可能为时已晚,但我遇到了问题而我刚刚在ACL上阅读了一些内容。

首先,java.security.acl中的类已被java.security包中的类所取代。如上所述here。作为一般政策,在进行新开发时,我更喜欢仅使用最新的API。

二; java.security包中的类可能仅用于保护系统资源,如file I/Onetwork I/O或打印机等。保护应用程序的域对象不是它们的意图,如上一段here中所述。

您可以为此目的调查spring-security-acl,或推出自己的解决方案(正如您在问题中提到的那样)。

使用此软件包而不是集合框架是否有任何优势?

那么,取决于你想要达到的目标,但是,在你的情况下,问题是不相关的。

是否有任何需要在Java EE项目中实现此包的情况?

不,除非您需要访问客户端上的资源,或计划使用自定义基于套接字的SSL / TLS通信,否则不需要。