JAAS ou Spring security

Pessoal,

JAAS ou Spring security?

Alguém tem alguma sugestão? Qual seja melhor?

Oi,

O Spring Security ainda está na minha lista de estudos, não posso falar nada sobre ele.

Quanto ao JAAS, ultimamente tenho chegado à conclusão que não é um bom negócio.

A aplicação fica hiper-engessada, você tem que se manter dentro daquele esquema que ele oferece, usuario-senha-roles, flexibilidade zero. Qualquer pequeno requisito adicional nessa parte de segurança fica inviável.

Nos nossos últimos projetos acabamos abandonando o JAAS no meio do caminho e implementando a segurança na mão, para poder cumprir requisitos simples como:

  • Colocar uma imagem captcha na tela de login.
  • Validar usuário/senha no LDAP e também fazer algumas verificações em banco para saber se o acesso é permitido.
  • Guardar em um log especial as tentativas de login.
  • etc

Aí alguém pode dizer “ahhhhh mas você pode customizar o JAAS, é só implementar um LoginModule, um Provider…”
só que a complexidade disso chega a parecer uma piada de mau gosto! :evil: