Grails セキュリティ [終了]

Question

acegi、jsecurity、Stark security の中で、grails に最適なセキュリティ ソリューションはどれですか?

Answer 1

JSecurity は、実際には Apache Ki しばらく前に、何らかの理由で名前の変更に満足せず、 Apache Shiro 。また、 Stark は、 Spring Security およびacegiはSpring Securityプロジェクトの起源です。

では、どちらを使用するのですか？

第一に、Spring Securityは成熟したセキュリティAPIであり、すでに広く使用されているため、安定性、サポート、特にセキュリティの観点から適切な選択です。残念なことに、Shiroはこれを少し失います。私の知る限り、まだ普及が進んでいないからです。

第二に、セキュリティフレームワークの実際の動作は非常に重要です。アプリケーションを保護するためのお気に入りのスキームを実行できるようにする必要があります。たとえば、Shiroの動作を好む人もいます（ このチュートリアルを見る、特に、＆quot; Quickstart.java＆quot; の見出しの下の部分）は、Spring SecurityのSpring風のものなどなしでは生きていけません。基本的に、両方を試して、それらがユーザビリティの観点からあなたのニーズを満たすかどうかを把握する必要があります。

第三に、実際のセキュリティに注意してください！ Spring Securityは安全であるように隔離できます。Shiroは広く採用されていないため、セキュリティの問題を簡単に隠せないため、ほとんどの場合安全です。たとえば、 Firefoxの脆弱性により、ユーザーベースの増加が長期的にアプリケーションの実際のセキュリティにどのように影響を与えるかを確認します。

これを終わらせるために、もし私があなたのために選ばなければならなかったなら、私はSpring Securityを選びます。なぜなら、それは広く使われているからです。 JSecurity / Ki / Shiroはまったく悪くなく、私はしばらくそれを使用しましたが、現時点では、誰がどのような理由を知っているのか、単に受け入れられないセキュリティフレームワークのある種のリンボ状態にあります。

編集： 1年以上経っています。私がこれに答えてから何年も経ったので、プラグインのしやすさと実績のある機能のために、私たちの会社が最近Spring Securityを採用することを決めたと言う必要性を感じました。もちろん、これは少し偏見を抱かせますが、いずれにしても、Spring Securityが道を行くと言うでしょう。

Answer 2

Eskoの答えは素晴らしく、包括的です。私は1か月前にさまざまなフレームワークの評価を行い、以前のSpring Securityの経験があるにもかかわらず、基礎となるセキュリティフレームワークとしてShiroを選択しました。複雑な承認要件を作成できるソリューションが必要でした。 JSecurityのモデルは非常にシンプルですが、非常に強力です。

最終的に私を納得させたのは、 Nimble プラグインです。シロの。ユーザー、ロール、グループ、セルフサービスアカウントの作成、電子メールなどを管理でき、アプリケーションに簡単に統合できます。そのようなコードをすべて書く必要がないことは、私にとって大きな勝利でした。また、OpenId、facebookなどとの統合も可能です。

NimbleがSpringSecurityで働いていたら、おそらくそれを選んだでしょうが、私にとっては大きな勝利だと思いました。

Answer 3

私は両方のフレームワークを使用したことがありますが、Spring のアプローチと比較して、Shiro の動作方法が気に入っています。なぜ Spring Security がそれほど人気が​​あるのか​​わかりません。hiro とは異なり、Spring Security は構成が必要になるたびにアプリケーション全体で暴走します。セキュリティは、ほとんどのアプリケーションにとって横断的な懸念事項ではないでしょうか?もしそうなら、それを単一の場所に分離するのが「よりクリーンなコード」ではないでしょうか?私の2セント。

Answer 4

ご回答いただきありがとうございます。私は実際にgrailsアプリケーションで春のセキュリティを試しました。 grailsプラグインを使用すると、非常に使いやすくなります。

よろしく。

ジョシュ