【转载】JavaEE权限管理分析

JavaEE权限管理分析

一．背景

在 Web 应用开发中，安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求，但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题，就可能陷入一个两难的境地：一方面，应用存在严重的安全漏洞，无法满足用户的要求，并可能造成用户的隐私数据被攻击者窃取；另一方面，应用的基本架构已经确定，要修复安全漏洞，可能需要对系统的架构做出比较重大的调整，因而需要更多的开发时间，影响应用的发布进程。因此，从应用开发的第一天就应该把安全相关的因素考虑进来，并应用在整个应用的开发过程中。

二．权限管理需求

1.权限管理应该拥有的功能

(1)管理权限：可以灵活地管理角色、分配权限，并将角色赋予系统相关用户以及认证、授权。并为系统其他模块提供授权信息支持。

(2)功能级权限管理：不同角色的用户访问相应权限的内容或数据。

(3)数据级权限管理：对系统数据进行增、删、改、查必须在相应权限范围内.

2.权限管理模块的期望

(1)简单、易操作，满足系统权限需求，可以跟现有系统无缝整合

(2)应对需求变更能力强

(3)既能提供功能级权限又能提供数据级权限。

(4)有相关界面，比如权限管理界面、角色管理界面，角色和权限关系维护界面，用户和角色关系维护界面。

三．主流权限管理中间件或者框架

1.Spring security

简介：

前身是Acegi，Acegi成为Spring子项目后改名为Spring Security。Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案-Spring框架开发的企业软件项目。

原理：

利用filter和session机制，为当前用户认证并授权，将授权信息存放于session中，以便在系统中随时调用。

主要功能点：

(1)url访问控制，支持正则表达式匹配和通配符

(2)资源权限可配（需要自行实现）

(3)Md5加密和盐值加密

(4)系统任意地方获取当前认证用户信息

(5)管理session，保证同一用户不能同时在两个地方登录

(6)基于cas (Center Authentication Service)的单点登录

(7)支持无状态客户端的验证，比如HttpInvoker或者Web Service的认证

(8)支持指定http和https

(9)自动登录

(10)防御session伪造

(11)支持ldap获取用户信息

(12)支持标签库

(13)支持aop以及annotation方式实现对方法或bean使用权的认证

优点：

比较成熟（业界老大），提供了完整的权限控制框架，自由度较高，对功能级别的控制能力较强，便于管理，可以跟使用了spring框架的项目进行无缝集成，可扩展能力较强，支持各种认证方式，为以后的业务扩展有一定的帮助。

缺点：

比较笨重，对数据级别的权限控制能力较弱，配置信息较复杂，学习难度大。可以说是一个半成品，需要根据系统情况，对其功能进行完善。（可以实现很多很多强大的功能）

2.Shiro

简介：

前身是J-security ，是 JAVA 世界中新近出现的权限框架，较之 JAAS 和 Spring Security，Shiro 在保持强大功能的同时，还在简单性和灵活性方面拥有巨大优势。提供了认证、授权、加密和会话管理功能，可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。

Shiro为解决下列问题（我喜欢称它们为应用安全的四要素）提供了保护应用的API：

认证 - 用户身份识别，常被称为用户“登录”；

授权 - 访问控制；

密码加密 - 保护或隐藏数据防止被偷窥；

会话管理 - 每用户相关的时间敏感的状态。

原理：

Shiro对web系统的权限管理也类似于spring security，使用过滤器来创建上下文，认证、授权。

主要特点：

(1)易于理解的 Java Security API；

(2)简单的身份认证（登录），支持多种数据源（LDAP，JDBC，Kerberos，ActiveDirectory 等）；

(3)对角色的简单的签权（访问控制），支持细粒度的签权；

(4)支持一级缓存，以提升应用程序的性能；

(5)内置的基于 POJO 企业会话管理，适用于 Web 以及非 Web 的环境；

(6)异构客户端会话访问；

(7)非常简单的加密 API；

(8)不跟任何的框架或者容器捆绑，可以独立运行。

优点：

易于使用 - 易用性是这个项目的最终目标。

广泛性 - 没有其他安全框架可以达到Apache Shiro宣称的广度，它可以为你的安全需求提供“一站式”服务。

灵活性 - Apache Shiro可以工作在任何应用环境中。虽然它工作在Web、EJB和IoC环境中，但它并不依赖这些环境。Shiro既不强加任何规范，也无需过多依赖。

Web能力 - Apache Shiro对Web应用的支持很神奇，允许你基于应用URL和Web协议（如REST）创建灵活的安全策略，同时还提供了一套控制页面输出的JSP标签库。

可插拔 - Shiro干净的API和设计模式使它可以方便地与许多的其他框架和应用进行集成。你将看到Shiro可以与诸如Spring、Grails、Wicket、Tapestry、Mule、Apache Camel、Vaadin这类第三方框架无缝集成。

支持 - Apache Shiro是Apache软件基金会成员，这是一个公认为了社区利益最大化而行动的组织。

缺点：

只支持系统级别的访问权限控制，不涉及业务层面的权限控制。而且学习文档较少，不容易深入挖掘。

3.Ralafafe

介绍：

Ralasafe 是用Java编写的开源（MIT协议）访问控制中间件。它能够轻松处理登录控制、URL权限控制和（业务级）数据级权限管理，实现权限与业务分离。Ralasafe是一款开箱即用的中间件，XML配置和JAVA编程工作量非常少，基本都使用图形化操作方式。非常简单易用，开发经验不丰富，也能很快学会。

原理：

权限管理与业务逻辑分离，通过制定策略模式，实现对业务逻辑以及数据层面的权限管理控制。提供api或者webservice接口供系统调用来判断权限。

优点：

(1)现成的权限配置界面

(2)可以与系统部署在不同server上

(3)精细到数据级权限分配管理力度。

缺点：

由第三方开源组织提供支持，使用范围不是很广，参考文档较少。偏重于数据级别的权限管理。

原文出处：http://www.sunnyhui.com/post/2012-08-23/40037163504