私たちの組織では、ldap ベースの認証と、シングル サインオン機能による承認を開発しています。この汎用モジュールを開発すると、それに依存する他のモジュールが数十個存在します。ツールセットは -
認証メカニズムは単純ですが、認証スキームは非常に複雑です。承認のための正しいアプローチが何であるかはわかりません。認証と承認ロジックを LDAP に配置する必要がありますか? それとも認証のみに使用する必要がありますか? その場合、OpenAM/OpenSSO をいじる必要があります。他のアプローチはありますか?春のセキュリティ、CAS、JOSSOなどのような..?アプローチが何であれ、非常にスケーラブルで保守可能でなければなりません。どんな提案や助けも大歓迎です。
ありがとう、ナズルル
あなたはApacheShiroを見るかもしれません:http ://shiro.apache.org/ 。これは、LDAPやシングルサインオンなど、既存のセキュリティテクノロジのほとんどをサポートする使いやすいセキュリティフレームワークです。
また、AuthenticatingRealmとAuthorizingRealm(Shiro APIから)をサブタイピングすることで、どんなに複雑であっても、認証と承認の戦略を実装できます。
最も一般的には、独自に実装します。
AuthenticatingRealm
AuthorizingRealm
AuthenticationToken
AuthrozationToken
PremissionResolver
等々...
決定を下す前に、おそらくこれを見たいと思うでしょう。 http://grzegorzborkowski.blogspot.com/2008/10/spring-security-acl-very-basic-tutorial.html
承認については、XACML ( eXtensible Access Control Markup Language ) に基づく外部化された承認フレームワークを見ることができます。
これは、属性ベースのアクセス制御を実装する OASIS 標準であり、承認の設計方法に多くの柔軟性をもたらします。