Pessoal,
JAAS ou Spring security?
Alguém tem alguma sugestão? Qual seja melhor?
Oi,
O Spring Security ainda está na minha lista de estudos, não posso falar nada sobre ele.
Quanto ao JAAS, ultimamente tenho chegado à conclusão que não é um bom negócio.
A aplicação fica hiper-engessada, você tem que se manter dentro daquele esquema que ele oferece, usuario-senha-roles, flexibilidade zero. Qualquer pequeno requisito adicional nessa parte de segurança fica inviável.
Nos nossos últimos projetos acabamos abandonando o JAAS no meio do caminho e implementando a segurança na mão, para poder cumprir requisitos simples como:
- Colocar uma imagem captcha na tela de login.
- Validar usuário/senha no LDAP e também fazer algumas verificações em banco para saber se o acesso é permitido.
- Guardar em um log especial as tentativas de login.
- etc
Aí alguém pode dizer “ahhhhh mas você pode customizar o JAAS, é só implementar um LoginModule, um Provider…”
só que a complexidade disso chega a parecer uma piada de mau gosto! :evil: