# Shiro Apache Security Framework



## Spin (8. Apr 2012)

Hallo Community,

hat einer schonmal das Framework : Apache Shiro | Java Security Framework eingesetzt?
Da ich dabei bin eine Anwendung in Scala zu programmieren und die ziemlich sicher sein muss, suche ich nach einem eleganten Framework.

Was habt ihr bisher genommen bzw. was für Erfahrungen gesammelt?
Könnt ihr mir ein Framework empfehlen?

grüße spin:rtfm:


----------



## Noctarius (9. Apr 2012)

Wieso kein PHP? *Sidekick* - Sorry musste sein.

Nee damit gearbeitet noch nicht aber im vorletzten (glaube ich) Java-Magazin war ein Artikel über Shiro drin, klang an sich alles ganz nett soweit.


----------



## Spin (9. Apr 2012)

Ach wie schön wäre es, wenn ich es alles in PHP machen könnte - dann wäre ich quasi fertig!!! Ob die ganze Geschichte sicher ist - steht aus der Frage, selbstverständlich. *hust* .

Bei meiner jetztigen Anwendung handelt es sich um eine Plattform für Konferenzen und einer selbsverwaltung. Das System soll so autonom laufen, dass es sich selbst verwaltet. Um es entsprechend gegen Manipulation zu schützen, brauche ich ein Sicherheits Framework. Klar kann ich mir auch selbst kryptische Sachen in Java oder Scala schreiben, aber warum? 

Mich interessiert hauptsächlich die Algorithmen mit dennen man Daten austauscht. (Private, Public Key, RSA usw.) . Authentifizierung gibt es in dem System nicht und Rollenvergabe ... mhh vielleicht ein Admin. Aber der bekommt eher ne Rechteverwaltung anstatt ne Benutzerrollen vergabe. (flexibler)

Use Cases
1. Admin Session Fixiation
2. XSS (cross Site Scripting --naja das LIFT Framework bietet da schon bissel schutz)
3. SQL Injection - erschlage ich dass mit HIBERNATE? (einfach params binden .. müsste doch passen  )
4. Brute Force - Captcha Fields müsste reichen

grüße spin


----------



## kama (9. Apr 2012)

Hallo,

Du hast Deinem ersten Post geschrieben: 


Spin hat gesagt.:


> ..Da ich dabei bin eine Anwendung in Scala zu programmieren und die ziemlich sicher sein muss,


Was verstehst Du unter "ziemlich sicher"? Ist die Implementierung darauf ausgelegt sicherer zu sein ? Sauberes Design ? Unit/Integrations-Tests ? 



Spin hat gesagt.:


> ...Um es entsprechend gegen Manipulation zu schützen, brauche ich ein Sicherheits Framework. Klar kann ich mir auch selbst kryptische Sachen in Java oder Scala schreiben, aber warum? [/qoute]
> Wieder mal einer der Glaubt, dass durch die Nutzung eines Security Framework eine Anwendung sicher wird...
> 
> Abgesehen davon gibt es 100%ige Sicherheit nicht!
> ...


----------

