8

XML構成、ポリシー設定、セキュリティフレームワークコンポーネント、ツール(キーストアなど)、およびその間のすべてを含む、Javaのセキュリティモデルについてはほとんど何も知りません。

最終的には、袖をまくり上げてJavaセキュリティを深く学ぶことが不可欠になることは理解していますが、Apache Shiroのようなものを使用すると、移行が少し簡単になるのではないかと思いました。そのため、私はそれにいくつかの懸念があります。

Shiroは、本質的に、Javaアプリケーション(特にWebアプリ)にセキュリティを実装するための「ターンキー、キャッチオールラッパー」です。つまり、Shiroをプロジェクトで構成し、基本的に、それなしで「手動」(段階的)に実行する必要があるのと同じ構成、ポリシー設定などをすべて実行できるように調整できますか?そうでない場合、シロにはどのような欠点がありますか(シロが私のためにできない重要なことは何ですか)?Shiroがまったく対処していない大きな脆弱性はありますか?

同じように、OWASPのESAPIフレームワークについて良いことを聞いたことがあります。誰もが両方の経験がありますか?ESAPIとShiroは連携して動作するように構成できますか、それとも単にバイナリの「どちらか一方」タイプの取引ですか?

前もって感謝します!

4

1 に答える 1

9

簡単な答えはイエスです。ShiroとESAPIはどちらも連携できますが、2つのAPIの間には冗長な機能がたくさんあります。Shiroは、標準のJavaセキュリティモデルをカバーするために必要なすべてを提供します。ESAPIは、OWASPのグローバルに標準化されたセキュリティメカニズムを提供することにより、さらに上を行きます。

Shiroは、Javaのセキュリティや一般的なアプリケーション/サーバーのセキュリティを本当に理解していない私のような初心者が使用する必要があります。それはセキュリティを知らない人のために多くのことを処理します。ESAPIは、Javaのセキュリティをすでに理解していて、Java EEに付属するすべてのものを活用するだけでなく、さらに一歩進んで物事をさらに安全にする必要があるプログラミングセキュリティの専門家が使用する必要があります。

于 2011-10-03T15:11:22.883 に答える