Apache Shiro mit einfacherem Passwortumgang
Mit dem Framework sollen Java-Entwickler Features wie Authentifizierung, Autorisierung und Kryptografie-Services in ihre Anwendungen einbinden können, ohne dass sie JAAS- oder EJB-Sicherheitsmodelle verwenden müssen.
- Alexander Neumann
Rund 14 Monate nach dem Erscheinen der Version 1.0 ist Apache Shiro 1.2 als erstes Update veröffentlicht worden, seit das Softwaresicherheits-Framework ein Top-Level-Projekt unter dem Apache-Dach ist. Mit dem Framework sollen Java-Entwickler Features wie Authentifizierung, Autorisierung und Kryptografie-Services in ihre Unternehmensanwendungen einbinden können, ohne dass sie JAAS- (Java Authentication and Authorization Service) oder EJB-Sicherheitsmodelle (Enterprise JavaBeans) verwenden müssen. Ein Ziel der Entwickler ist es dabei, dass Anwender nach einem 10-minütigen Tutorial die Arbeitsweise der Software verstehen.
Neu ist ein Kommandozeilenprogramm, mit dem man ähnlich wie bei Apache HTTPDs passwd-Programm neue Passwort-Hash-Formate erstellen können soll. Ein neues PasswordService-Modul gestaltet das Speichern sicherer Passwort-Hashes einfacher und lässt sich mit dem PasswordMatcher-Modul offenbar direkt in der Anwendung verwenden.
Mit einem neuen LogoutFilter können Nutzer einer Applikation unmittelbar über eine Logout-View zu einer bestimmten Seite umgeleitet werden. Die Shiro-Filter kann man aktivieren oder deaktivieren. Das mag von Belang sein für Anwendungen im Entwicklungsstadium, die SSL deaktiviert haben, und dann im Produktivbetrieb SSL verwenden, bei denen das Feature dann hinzugeschaltet wird.
Hinzugekommen ist schließlich die Unterstützung für die OSGi-Module von Apache Karaf, Googles Dependency-Injection-Framework Guice und den CAS-SSO-Service der Jasig-Community. Einen kompletten Überblick zu den Neuerungen und Fehlerbeseitigungen von Apache Shiro 1.2 finden Interessierte in den Release Notes. (ane)
