Я почти ничего не знаю о модели безопасности Java, включая конфигурацию XML, настройку политик, любые компоненты инфраструктуры безопасности, инструменты (такие как хранилище ключей и т. д.) и все, что между ними.
Хотя я понимаю, что со временем для меня станет необходимым засучить рукава и всесторонне изучить безопасность Java, мне было интересно, поможет ли использование чего-то вроде Apache Shiro немного облегчить переход. Таким образом, у меня есть несколько опасений по этому поводу.
Является ли Широ, по сути, «универсальной оболочкой под ключ» для реализации безопасности в приложениях Java (и, в частности, в веб-приложениях). Это означает, что можно ли настроить Shiro с помощью своего проекта и, по сути, настроить его, выполнить все те же настройки, настройки политики и т. Д., Которые без него пришлось бы выполнять «вручную» (по частям)? Если нет, то какие недостатки есть у Широ (какие большие вещи Широ не может сделать для меня, что жизненно важно)? Есть ли серьезные уязвимости, которые Широ вообще не устраняет?
В том же духе я слышал хорошие отзывы о структуре OWASP ESAPI. У кого-нибудь есть опыт с обоими? Можно ли настроить ESAPI и Shiro для совместной работы или это просто бинарная сделка типа «один или другой»?
Заранее спасибо!
