Estoy tratando de proteger mi aplicación que está construida usando JSF2.0.¿Cuándo pasar de la seguridad administrada de Container a alternativas como Apache Shiro, Spring Security?
Estoy confundido acerca de cuándo optan las personas por alternativas de seguridad como Shiro, Spring Security o owasp's esapi, dejando atrás la seguridad administrada por contenedores. Después de haber visto algo de related questions en Stack Overflow, me di cuenta de que la seguridad basada en contenedores era más preferida por los desarrolladores de JSF en el pasado. Pero también me recomendaron usar Apache Shiro. Soy novato en cuanto a los problemas de seguridad y no tengo idea de cuáles pueden ser los problemas relevantes & cómo tratar con ellos. Por lo tanto, estoy buscando algo que maneje la mayoría de los problemas de seguridad a través de su configuración predeterminada/por sí misma.
En términos de mis requisitos de aplicación, tengo una aplicación social donde los usuarios con diferentes roles tienen acceso a diferentes conjuntos de páginas y pueden usar diferentes niveles de funcionalidad en esas páginas en función de sus roles.
En ese caso, ¿cuál crees que podría ser una buena opción para mí?
Personalmente he sido convencido de optar por Shiro ya que es fácil de usar y se encarga de la mayoría de las cosas para los novatos.
¿Quién lo recomendó encarecidamente y qué razones dieron? – EJP
razones fueron: "con shiro es bastante fácil configurar la seguridad, shiro se encarga de la mayoría de los problemas a través de su configuración predeterminada, los mecanismos de seguridad existentes de Java como JAAS son demasiado confusos, etc., y es más adecuado para principiantes como yo que no sé mucho sobre cuestiones de seguridad " –
Bueno, suponiendo que todo eso sea cierto, ¿cuál es exactamente tu pregunta? – EJP