¿Hay algún paquete de seguridad listo para producción basado en Spring-Security para Java?

Question

Estoy diseñando el subsistema de seguridad para un nuevo producto. El sistema requiere lo siguiente:

• Complex usuario/grupo/modelo de permisos, tanto a nivel de servicio y de nivel de dominio (ACL)
• Administración de interfaz de usuario para las anteriores
• Reglas llevados a cabo en las acciones del usuario (Deshabilitar cuenta en el inicio de sesión fallido, requisitos de complejidad de contraseñas, etc.).

Antes de seguir adelante e implementar la mayoría de las características de las que Spring Security (2.x) carece, me preguntaba si alguien está familiarizado con un paquete que ya puede implementar/respaldar estos requisitos. lo ideal es JAR + WAR que se puede incluir en el proyecto y admitir todo lo que esté disponible.

Gracias

Answer 1

interesante que usted pidió, también tienen un requisito muy similares y han estado buscando esto por un tiempo. Me di por vencido y comencé a hacerlo yo mismo y tengo un progreso decente en las últimas 2 semanas. Actualmente tengo soporte para identificadores de dominio que no son necesariamente largos, podría ser cualquier cosa como una cadena comodín para denotar un grupo de cosas que se podrían otorgar a una autoridad (ROL, GRUPO, USUARIO) o una ID de cadena o incluso un largo Se pueden definir múltiples tipos de permisos, cada uno con su o un conjunto de permisos, y estos tipos de permiso se pueden asignar como admitidos a una entidad protegida y las instancias pueden estar protegidas por ellos, por lo que no tiene la limitación de un máximo de 32 permisos posibles en todo el sistema. También podría usar cualquier entidad real o virtual en la configuración de ACL. Todo esto se basa en la nueva (3.0.0.R1) de seguridad Spring con soporte de expresión de método y funciona bastante bien. Todo utiliza hibernación para que pueda aprovechar la persistencia transparente y el almacenamiento en caché distribuido. Hay muchos bordes ásperos, pero se espera que sea una prueba de concepto. De todos modos, avíseme si está interesado y podríamos colaborar para que esto sea útil para nosotros y probablemente para otros también.

Answer 2

No es exactamente lo que está buscando, pero podría estar interesado en retirar jSecurity. Es un marco de seguridad bien pensado que maneja la autenticación, la autorización y los permisos detallados. Pero por lo que puedo deducir, al igual que Spring Security, intentan no hacer suposiciones sobre cómo se almacenan y organizan estos datos. (No he encontrado, por ejemplo, una implementación de referencia para Usuario, Roles, Permisos, etc. en una base de datos.)

Tenga en cuenta que el proyecto JSecurity se ha movido permanentemente a Apache Software Foundation y ahora se lo conoce como Apache Shiro proyecto.