Ola pessoal gostaria de saber o que voces costumão utilizar para fazer a segurança com JSF.
Filtor servlet?
Phase Listeners?
Jaas?
Spring security?
Gostaria de saber algumas opiniões de quem ja esta usando, comparações etc.
Eu uso só Servlet Filter mesmo…
Até dei uma olhada no Spring Security,mas não vi muita vantagem.
De fato, no JSF o controle de acesso é descentralizado. Igual acontece com o Seam, o controle de acesso pode ser feito no page ou por anotação, ficando descentralizado do mesmo jeito. Esta prática é desencorajada na especificação J2EE.
A solução do intocável e esplendido framework JBOSS Seam é, na verdade, um anti-pattern, porque a proposta dele é abstrair tudo, tudo mesmo, camada de apresentação, filters e sevlets, inviabilizando a solução centralizada de verificar acesso por url-pattern.
não gosto da ideia de filtros… e phase listeners.
estou na duvida sobre JAAS ou Spring Security
Alguém tem algum motivo consistente para usar Spring me relação ao JAAS?
Opa…
Eu uso JAAS na minha aplicação e estou passando pelo seguinte problema. Criei minha página de login usando facelets e o form é estático <form (html) por causa do action. O problema é na página de erro (mesma página que a de login), não consigo obter o exception para mostrar o erro para o usuário.
Se conseguir resolver o problema da um toc…
Abraço,
Fred
Olá amigos!
Com certeza utilizo algo como JAAS ou Spring Security (Tendendo para este ultimo) na maioria dos casos, isto por que eles dão abstração sobre o acesso as partes da sua aplicação, disponibilizando muitas coisas prontas, certamente é mais produtivo. Isto por que a grande maioria das aplicações o acesso é uma Tabela de Usuário e uma Tabela de Roles, então estes frameworks se encaixam perfeitamente.
Me parece que a solução do spring é mais fácil de implementar se não utilizarmos apenas aqueles arquivos de configuração (user.properties e roles.properties - que venhamos e convenhamos é muito pouco flexivel, e dificilmente uma aplicação corporativa deseja utilizar estes coisas), te permite um controle bem transparente, então considero melhor o spring (por favor digam se descordarem).
Uma solução com Filter ou interceptor creio que vem a calhar quando uma aplicação tem um controle de acesso mais refinado, como flexibilidades para cadastrar as roles, ou uma hierarquia das roles, ai acho que começa valer a pena, mas isto com certeza é 2% das aplicações.
Um grande abraço!