我正在构建一个与apache tomcat上的web服务器通信的android应用程序。 Web服务器在JAVA EE中构建。目前,对于身份验证和授权,我使用用户名,密码和管理我正在使用令牌的会话。因此,当用户登录时,我将检查mysql数据库并验证用户。当用户尝试根据发送的令牌执行某些操作时,我将识别用户并根据授予该用户的权限授权执行该操作。它看起来有点麻烦。我想知道是否有任何标准框架可以轻松完成这项任务。
是否有可能进行tomcat容器级别的身份验证和授权,因此如果未授权执行操作,请求将无法访问Web应用程序?
或者是否有任何框架在Web应用程序中提供标准身份验证和授权?
答案 0 :(得分:1)
Apache Shiro正是您所寻找的:
Apache Shiro是一个功能强大且易于使用的Java安全框架 执行身份验证,授权,加密和会话 管理。使用Shiro易于理解的API,您可以快速而且 从最小的移动应用程序轻松保护任何应用程序 到最大的网络和企业应用程序。
我在一对项目中使用了Spring安全性(版本3),缺点是你需要部署的jar大小(这是Spring!),这很麻烦。
此外,我已经将Apache Shiro与magnolia-cms集成在一起,据我所知,Apache Shiro具有Spring Security的强大功能和易用性。