13. května 2009

Jaké jiné zabezpečení místo Spring security?

Při přípravě školení o Spring security jsem se zamýšlel nad tím, jaké jiné způsoby zabezpečení aplikace jsou možné, když bych vynechal Spring security. Já osobně jsem vždy používal Spring security, proto mě samotného tato otázka trochu zaskočila.

Našel jsem (= vymyslel, vyhledal, znal) následující způsoby:

  • self-made řešení - pod tím si představuji taková řešení, kde využiji základních možností JEE, tedy filtrů a servletů, a na základě toho si vytvořím své vlastní filtry, kontroly. K tomu si dodělám přihlašovací formulář, napojím to na databázi a mám základní řešení hotové.

  • JEE servery - zabezpečení aplikace nechat na serverech.

  • Seam a Drools - framework Seam integruje knihovnu Drools a dohromady to vytváří pěkné řešení pro kompletní zabezpečení aplikace.

Jednotlivé způsoby lze vhodně kombinovat, např. použít servery pro autentifikaci uživatelů a autorizaci řešit pomocí Spring security.

První řešení mi není sympatické z toho důvodu, že nerad vytvářím něco, co již někdo jiný udělal (a většinou mnohem lépe). Snažím se držet zásady, že čím méně sám naprogramuji, tím lépe :).
Druhé řešení nemám rád z důvodu závislosti na aplikačním serveru, tedy omezené možnosti přenositelnosti a hlavně při každé instalaci to musím řešit znovu a znovu. Také nabízené možnosti zabezpečení (zejména co se týče autorizace) nejsou takové jako u jiných řešení.

Znáte prosím nějaké další způsoby zabezpečení aplikací?

2 komentáře:

amra řekl(a)...

A co treba jsecurity?
http://www.jsecurity.org/

Petr Jůza řekl(a)...

Děkuji za tip, toto řešení vůbec neznám.

Pozn.: projekt byl přejmenován na Apache KI.