如何解决基于Spring的Java应用程序的身份验证和授权的最佳实践
| 在我们的组织中,我们正在开发基于ldap的身份验证和授权 具有单点登录功能。开发此通用模块后,将有数十个其他模块依赖于该模块。工具集是- 弹簧 冬眠 雄猫7 openAm / openSSO Openldap Postgresql的 我们将拥有简单的身份验证机制,但授权方案非常复杂。我们不确定哪种授权方法正确。我们应该将身份验证以及授权逻辑放在LDAP中还是应该仅将其用于身份验证?在这种情况下,我们将不得不摆弄OpenAM / OpenSSO。还有其他方法吗?像弹簧安全,CAS,JOSSO,..?无论采用哪种方法,它都必须具有很好的可扩展性和可维护性。任何建议或帮助将不胜感激。 谢谢, 纳兹鲁尔解决方法
您可以看看Apache Shiro:http://shiro.apache.org/。它是一个易于使用的安全框架,支持大多数现有的安全技术,包括LDAP和Single Sign On。
另外,通过对AuthenticatingRealm和AuthorizingRealm进行子类型化(来自Shiro API),无论它们多么复杂,都可以实现身份验证和授权策略。
最常见的是,您将实现自己的:
身份验证领域
授权领域
身份验证令牌
AuthrozationToken
PremissionResolver
等等...
, 在做出任何决定之前,您可能希望先看一下。
http://grzegorzborkowski.blogspot.com/2008/10/spring-security-acl-very-basic-tutorial.html
, 对于授权,您可以查看基于XACML(可扩展访问控制标记语言)的外部化授权框架。
它是OASIS标准,它实现了基于属性的访问控制,使您可以灵活地设计授权。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
