Opciones de Java para autenticación de usuario web

Question

Estoy buscando un componente de administración de sesión/sesión de usuario seguro para una aplicación web pública. Spring Security parece tener potencial, ¿hay alguna otra alternativa de alta calidad?

Conceptualmente, esto es fácil y actualmente tenemos un código que funciona bien, pero prefiero usar código que haya sido revisado públicamente en busca de fallas de seguridad.

Necesidades:

• Iniciar sesión
• Salir
• sesión segura gestión de testigos (token no adivinar)
• Sesión de caducidad apoyo
• Java/Tomcat

Answer 1

Apache Shiro, anteriormente conocido como Ki y JSecurity antes de eso, "es un marco de seguridad de código abierto potente y flexible que maneja limpiamente la autenticación, la autorización, la gestión de sesiones empresariales y la criptografía". Ha existido por un tiempo (primer lanzamiento público el 18/04/2006) y actualmente se encuentra en la incubadora Apache. Solo pensé en mencionarlo como una alternativa a Spring Security (aunque prefiero Spring Security).

Answer 2

Si Tomcat no es un requisito difícil, podría considerar implementar su aplicación en el servidor Glassfish de Sun. Glassfish es la implementación de referencia para las tecnologías Java EE, que incluye support for security. Glassfish tiene una sólida reputación y puntajes altos en facilidad de administración.

Answer 3

seguridad de primavera anteriormente acegi, es otra opción de fuente abierta. Si está utilizando la primavera, esta es una gran opción