最好是与Flex前端完美集成的东西。是的,Spring Security的人说这是可能的,但是所有的例子似乎都使用传统的jsp标签库,这使得它们没有用作例子。我不想花一个月的时间来设置和学习如何使用安全工具。我想要一个支持使用注释(@RolesAllowed等),MINIMAL XML和'remember-me'功能(不基于cookie)的工具。
Apache Shiro似乎也支持Flex / Silverlight / Swing,但我想知道是否还有其他非容器特定的替代品。
答案 0 :(得分:8)
事实证明Apache Shiro实际上是比Spring安全更简单易学的解决方案。并且没有愚蠢的xml配置。
答案 1 :(得分:0)
我不明白为什么Flex应该验证任何东西,毕竟那是客户端。是什么阻止某人反编译你的flash / flex?
对于大多数人来说,Apache Shiro过度杀戮他们只是自己动手。说实话,这不是最好的主意。多年来我见过很多可怕的身份验证系统。 Cookie旨在跟踪客户的会话,为什么要使用其他内容?
修改 使用spring secuirty进行身份验证。
答案 2 :(得分:0)
Spring Security是迄今为止最好的工具。
BlazeDS并不神奇。它最终只是通过HTTP调用服务器。 Blaze应用程序只是一个war文件,并且有传统的URL。因此,为了保护服务,您必须保护web.xml / spring配置文件中的URL。
基本上,请阅读Spring Security / JAAS的文档,并将jsps替换为您的blaze服务的URL。
Spring Security也支持角色和授权。它还有一个记住我的功能,但绝对使用cookie。没有cookie,你就无法拥有记住我的功能。
关于身份验证,可以将身份验证令牌作为请求参数而不是cookie传递。但建议使用cookie,并且更容易正确。
最后,如果不使用https,安全性就毫无意义。如果您关心安全性,则必须在整个应用程序中使用https。