我对 Java 的安全模型几乎一无所知,包括 XML 配置、策略设置、任何安全框架组件、工具(例如密钥库等)以及介于两者之间的所有内容。
虽然我明白最终会变成基本的对于我来说,卷起袖子深入学习 Java 安全性,我想知道使用 Apache Shiro 之类的东西是否有助于缓解一点过渡。因此,我对此有一些担忧。
Shiro 本质上是一个“交钥匙、包罗万象的包装器”,用于在 Java 应用程序(更具体地说是 Web 应用程序)中实现安全性。意思是,人们是否可以使用他们的项目配置 Shiro,并从本质上调整它以执行所有相同的配置、策略设置等,如果没有它,人们就必须“手动”(零碎)进行操作?如果没有的话,Shiro 有什么缺点(有哪些大事Shiro不能为我做那些重要的事情)?是否存在 Shiro 根本没有解决的重大漏洞?
同样,我也听说过有关 OWASP 的 ESAPI 框架的好消息。有人有这两种经验吗? ESAPI 和 Shiro 是否可以配置为一起工作,或者只是一个二进制的“一个或另一个”类型的交易?
提前致谢!
简短的回答是肯定的。 Shiro 和 ESAPIcan尽管两个 API 之间存在大量冗余功能,但它们可以协同工作。 Shiro 为您提供了覆盖标准 Java 安全模型所需的一切。 ESAPI 提供了 OWASP 的全球标准化安全机制,超越了这一点。
Shiro 应该由像我这样真正不了解 Java 安全性和/或一般应用程序/服务器安全性的新手使用。它为那些不了解安全的人处理了很多事情。 ESAPI 应该由已经了解 Java 安全性的编程安全专业人士使用,他们不仅希望利用 Java EE 附带的所有功能,还需要加倍努力,让事情变得更加安全。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
