我正在为公共(public)网络应用程序寻找安全的用户登录/ session 管理组件。 Spring Security 似乎有潜力,还有其他高质量的替代品吗?
从概念上讲这很容易,我们目前的代码运行良好,但我宁愿使用已经过安全漏洞公开审查的代码。
需要:
- 登录
- 注销
- 安全 session token 管理( token 不可猜测)
- session 到期
- Java/Tomcat 支持
最佳答案
Apache Shiro ,以前称为 Ki 和 JSecurity在此之前,“是一个强大而灵活的开源安全框架,可以干净地处理身份验证、授权、企业 session 管理和密码学。”它已经存在了一段时间(首次公开发布于 04/18/2006),目前在 Apache 孵化器中。只是想我会提到它作为 Spring Security 的替代品(尽管我自己更喜欢 Spring Security)。
关于用于 Web 用户身份验证的 Java 选项,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1107007/