Jaas / Jaac、よだれ、またはカスタム
質問
ユーザーがアイテムを表示、編集、削除、または作成する許可を持っているかどうかを評価する独自の内部カスタム認証モデルを使用しています。たとえば、これを使用する場所の1つは、ユーザーがリソースを表示する許可を持っているかどうかを判断するためです。アイテムが公開されているかどうか、ユーザーが必要なグループ /ロールに属しているかなど、いくつかの制限があります。
そのすべての情報をデータベースに保存し、そこで許可を監査し、特定のエンティティに対してそれらを変更した人を保存します。ユーザーが許可を得ているかどうかを評価するために、現在のユーザーやその他のコンテキスト情報を取得し、エンティティに対して評価するHibernateイベントリスナーがあります。
これは良いセキュリティモデルですか、Jaas / JaacまたはDroolsはここでうまく機能しますか?
他のヒント
Spring SecurityとShiroはおそらく最も広く使用されているセキュリティフレームワークであり、おそらく現在プロジェクトに使用するでしょう。ただし、App Serverが完全にテストおよび統合されたセキュリティ(JAAS)が完全にテストされ、統合された場合、アプリケーションサーバーの上にレイヤーがあるのは残念なことです。何を見るのを楽しみにしています ピケットボックス 提供する必要があります、 Seam Security 3.0 その上に構築されており、Open IDサポートなどのいくつかの素晴らしい機能を使用して、アプリサーバーがすでに提供するものに自然に適合するようです。
私はパーティーに少し遅れていることに気づきましたが、 スプリングセキュリティ かなり堅牢なオプションでもあります。具体的には、ACLモジュールが探していることの多くを行うことができます。