我有興趣使用TomEE(實現Java EE 6 Web Profile)來構建Web站點(使用Eclipse或NetBeans等工具),因爲以下幾點對我很有吸引力:java的用戶註冊框架
- OOB數據層完成交易,POJO/JPA避免編寫數據庫層,性能連接池/緩存,樂觀併發
- MVC的表現層的概念(即JSF)
- 通信能力到運行在其他JVM實例上的其他Java組件
接下來,我想確定合併一些額外構建塊的可行性,爲典型的面向Web的註冊/登錄機制提供框架。
問題是,我擔心如果我使用Play,Vaadin或Grails等全面的Web框架,我可能會失去太多的靈活性和控制權。不過,我也想避免通過實現完全在我自己通過以下機制來重新發明輪子:註冊時
- 電子郵件驗證
- 忘記密碼/帳戶恢復[更新:Emmet] 註冊期間
- CAPTCHA [更新:Spring Security 3: Integrating reCAPTCHA Service,Emmet]
- 同行評審執行密碼處理/存儲
- 最好有:與OWASP安全最佳實踐對準
- 很高興有:基本的用戶管理[更新:Emmet]
理想情況下,我想使用可擴展身份驗證/授權機制POJO層完成基本樣本頁面。從我的研究看來,JAAS似乎不會削減它,而且我對Apache Shiro,Spring Security,DeltaSpike或PicketLink等項目是否會推動我向前發展方向或如果這些項目矯枉過正。
有人可以更熟悉java生態系統嗎?請解釋什麼可以彌合Web配置文件的實現和上述功能(即用戶註冊/登錄框架)之間的差距?