与 Spring Security/Apache Shiro 相比，JAAS 的缺点是啥？

Posted 2023-02-27

【中文标题】与 Spring Security/Apache Shiro 相比，JAAS 的缺点是啥？

【英文标题】：What are disadvantages of JAAS in comparison to Spring Security/Apache Shiro?与 Spring Security/Apache Shiro 相比，JAAS 的缺点是什么？

【发布时间】：2018-12-15 13:25:08

【问题描述】：

我一直在研究处理身份验证和授权的几个框架（Apache Shiro、Spring Security、JAAS、Apache Wicket），并且想知道 JAAS 的缺点。

我一直在阅读它更复杂，只提供基本的安全性，但我不太明白这意味着什么。另外，我听说如果需要将应用程序移植到另一个系统，我就不要使用它——这是为什么呢？

【参考方案1】：

“它只提供基本的安全性”是无稽之谈。 JAAS 是一个框架，您可以在其中编写所需的任何内容，因此它可以提供您希望它提供的任何内容，从简单的身份验证到任何级别的基于角色的授权，与容器管理的身份验证相关联，恕我直言，这是唯一理智的管理网络应用安全的方法。

我觉得 JAAS 编程模型有点奇怪，有点从里到外，但你可以用它做一些非常强大的事情：例如，我构建了一个 web 应用程序，它可以通过任何一种表单、会话票证、自动过期等方式接受登录。登录令牌（例如用于密码重置）或客户端 SSL 证书，实际上它非常适合此类场景。