Apache Shiro和Java安全新手

Question

我完全不瞭解Java的安全模型，包括XML配置，策略設置，任何安全框架組件，工具（如密鑰庫等）以及其間的所有內容。

儘管我明白它最終會變成必不可少的對我來說，我可以捲起袖子並深入學習Java安全性，但我想知道是否使用諸如Apache Shiro之類的東西有助於緩解轉換過程。因此，我對此有一些擔憂。

Shiro實質上是一個用於在Java應用程序（尤其是Web應用程序）中實現安全性的「交鑰匙包裝工具」。這意味着，可以將Shiro配置到他們的項目中，並且基本上將其調整爲執行所有相同的配置，策略設置等，而這些配置，策略設置等必須在沒有它的情況下「手動」（零碎地）完成。如果不是，Shiro有什麼缺點（什麼是大事 Shiro對我來說無法做到這些是至關重要的）？是否有任何Shiro根本無法解決的巨大漏洞？

沿着同樣的道路，我聽到了關於OWASP的ESAPI框架的好消息。 Aybody有兩種經驗嗎？ ESAPI和Shiro可以配置爲一起工作，還是僅僅是一種二元「一種或另一種」類型的交易？

在此先感謝！

Answer 1

簡短的回答是肯定的。 Shiro和ESAPI 都可以在的協同工作，儘管這兩個API之間有一些冗餘的功能。 Shiro爲您提供涵蓋標準Java安全模型所需的一切。通過提供OWASP的全球標準化安全機制，ESAPI超越了它。

Shiro應該被像我這樣的新手使用，他們真的不瞭解Java安全性和/或一般應用程序/服務器安全性。它爲無所不知的安全處理了很多事情。編程安全專業人員應該使用ESAPI，這些專業人員已經瞭解Java安全性，並且不僅要利用Java EE附帶的所有內容，還需要付出更多的努力，並使事情變得更加安全。