Estoy buscando un marco / solución para la autenticación / administración de inicio de sesión de usuario / seguridad en la aplicación web java que pueda hacer el trabajo del desarrollador ingenuo más fácil / rápido y hacer la aplicación relativamente más segura contra amenazas potenciales.
P.S. : Estoy usando JSF 2.0 como el marco de desarrollo front-end en mi aplicación web.
Echa un vistazo a las OWASP 's ESAPI (Enterprise Security API) .
ESAPI (la API de seguridad empresarial de OWASP) es una biblioteca de control de seguridad de aplicaciones web de código abierto y gratuita que facilita a los programadores escribir aplicaciones de menor riesgo. Las bibliotecas ESAPI están diseñadas para facilitar a los programadores la actualización de la seguridad en las aplicaciones existentes. Las bibliotecas ESAPI también sirven como una base sólida para nuevos desarrollos.
Aunque está portado a varios lenguajes y marcos, comenzó como un proyecto Java EE. Es un marco muy grande y flexible, que debe satisfacer la mayoría de sus necesidades.
Y en cuanto a la autenticación y la administración de usuarios, fuertemente considera usar OpenID (o algo así), para que no tengas que administrarlo en absoluto. Dependiendo de sus casos de uso y de la base de usuarios, esto puede ser un gran beneficio para usted y sus usuarios.
Si aún tiene la libertad de elegir el marco de aplicación web que está utilizando, puedo recomendar web2py. Cuenta con soporte incorporado para la autenticación, la administración de inicio de sesión y muchas otras necesidades de seguridad. Fue diseñado desde el principio para hacer que muchos problemas de seguridad (por ejemplo, XSS, inyección SQL, ataques de administración de sesión, etc.) sean casi imposibles. Y, como beneficio adicional, es hermoso, limpio y fácil de aprender.
web2py: pruébalo
Lea otras preguntas en las etiquetas web-application authentication appsec java