Wir erstellen ein O & amp; M-Framework in Java, das sowohl webbasierte GUI als auch konsolenbasierte CLI unterstützt. Später wird es auch mit einer GUI unterstützt, auf die mit Handhelds (Andriod App usw.) zugegriffen werden kann. Ich muss entscheiden, welches Open-Source-Java-Sicherheitsframework für dieses Produkt verwendet werden soll.
Meine Anforderungen lauten wie folgt:
Das Sicherheitsframework sollte containerunabhängig sein: Ich sollte von Java EE Servern, Tomcat Webcontainern, POJO in Java SE usw. darauf zugreifen können.
Das Sicherheitsframework muss Authentifizierung bereitstellen & amp; rollenbasierte Autorisierung (RBAC)
In einigen Bereitstellungen bitten unsere Betreiber uns, auf ihre LDAP-Server nach Benutzeranmeldeinformationen und Rollen zu verweisen, sodass LDAP-Unterstützung erforderlich ist
Passwortstärkenkontrolle, Passwortalterung, automatische Kontosperrung, wenn nicht für N Tage eingeloggt, Automatische Passwortänderungserzwingung alle N Tage, Starke Verschlüsselungsunterstützung, Kanalsicherheit, Single Sign On usw. sind alle erforderlichen Funktionen
Das Open-Source-Projekt muss aktiv sein & amp; gut in Foren unterstützt und muss die neuesten Sicherheitsstandards in der Praxis einhalten
Die sicherheitsrelevanten Daten werden in verschiedenen Datenspeichern, nämlich HBase, Cassandra usw. gespeichert. Daher muss das Sicherheitsframework erweiterbar sein, um Daten aus verschiedenen Datenspeichern lesen zu können (oder auf JPA basieren).
/ li>Ich habe Spring Security angeschaut. Nicht sicher, ob es Anforderung (1) erfüllen kann und ich auch einige Rückmeldungen lese, dass es sehr schwer und zäh ist zu verwenden und es kann auch leicht nur mit Spring Based Apps verwendet werden. Unsere Anwendung ist nicht Spring basiert
Wie wäre es mit Apache Shiro? Erfüllt es alles, was ich oben brauche?
Tags und Links java security spring-security