Web ベースの GUI とコンソール ベースの CLI の両方をサポートする O&M フレームワークを Java で構築しています。後に、ハンドヘルド (Andriod アプリなど) を使用してアクセスできる GUI にも対応する予定です。この製品に使用するオープン ソースの Java セキュリティ フレームワークを決定する必要があります。
私の要件は次のとおりです。
セキュリティ フレームワークはコンテナに依存しない必要があります。Java EE サーバー、Tomcat Web コンテナ、Java SE の POJO などからアクセスできる必要があります。
セキュリティ フレームワークは、認証と役割ベースの承認 (RBAC) サービスを提供する必要があります。
一部の展開では、オペレーターがユーザーの資格情報と役割のために LDAP サーバーを指すように要求する場合があるため、LDAP のサポートが必要です。
パスワード強度制御、パスワード エージング、N 日間ログインしない場合のアカウントの自動ロックアウト、N 日ごとの自動パスワード変更強制、強力な暗号化サポート、チャネル セキュリティ、シングル サインオンなどはすべて必要な機能です。
オープンソース プロジェクトはアクティブで、フォーラムで十分にサポートされている必要があり、実際に最新のセキュリティ基準に準拠している必要があります。
セキュリティ関連のデータは、HBase、Cassandra などのさまざまなデータ ストアに格納されます。そのため、セキュリティ フレームワークは、さまざまなデータ ストアからデータを読み取るために拡張可能である必要があります (または、JPA などに基づく必要があります)。
私はSpring Securityを見始めました。要件(1)を満たすことができるかどうかはわかりません。また、非常に重くて使いにくく、Spring ベースのアプリでのみ簡単に使用できるというフィードバックもいくつか読みました。私たちのアプリケーションはSpringベースではありません
アパッチシロはどうですか?上記で必要なすべてを満たしていますか?