Java JAAS/JAAC、DROOLS或定制

我一直在使用自己的内部自定义授权模型，该模型评估用户是否具有查看、编辑、删除或创建项目的权限。例如，我使用它的一个地方是确定用户是否有查看资源的权限。我有一些限制，例如项目是否发布，用户是否属于必要的组/角色等

我将所有这些信息存储在一个数据库中，在该数据库中，我审核给定实体的权限以及谁更改了权限。为了评估用户是否有权限，我有一个Hibernate事件侦听器，它获取当前用户和其他上下文信息，并根据实体进行评估

---

这是一个很好的安全模型，JAAS/JAAC或DROOL会在这里工作得更好吗？

代替JAAS或基于规则引擎的解决方案，我会考虑（以前JSCORT）可插入和灵活的身份验证和授权。看一看

---

但是如果你有一个有效的解决方案，如果它完成了任务，为什么不坚持下去呢。

我意识到我参加聚会有点晚了，但这也是一个非常有力的选择，具体来说，它的ACL模块可以做很多您想要的事情。

Spring Security和Shiro可能是使用最广泛的安全框架，我现在可能会在项目中使用它们。然而，当应用程序服务器和应用程序服务器已经完全测试并集成了内置安全性（JAAS）时，在应用程序服务器上有一个层似乎是一种耻辱。我期待着看到它能提供什么，它是建立在它的基础上的，它似乎更自然地适合应用服务器已经提供的功能，只是一些很好的功能，如开放id支持。

它可以工作，但它是我自己开发的解决方案-如果有更标准化的东西，那么出于维护原因，我会切换到它。我会调查ApacheShiro。