Sto cercando un framework / soluzione per l'autenticazione / gestione / sicurezza di login utente nell'applicazione web java che possa rendere il lavoro dello sviluppatore ingenuo più facile / più veloce e rendere l'applicazione relativamente più sicura contro potenziali minacce.
P.S. : Sto usando JSF 2.0 come framework di sviluppo front-end nella mia applicazione web.
Controlla OWASP 's ESAPI (Enterprise Security API) .
ESAPI (The OWASP Enterprise Security API) is a free, open source, web application security control library that makes it easier for programmers to write lower-risk applications. The ESAPI libraries are designed to make it easier for programmers to retrofit security into existing applications. The ESAPI libraries also serve as a solid foundation for new development.
Mentre è portato su più linguaggi e framework, è iniziato come un progetto Java EE. È una struttura molto ampia e flessibile, dovrebbe soddisfare la maggior parte delle tue esigenze.
E per quanto riguarda l'autenticazione e la gestione degli utenti, strongmente prendere in considerazione l'utilizzo di OpenID (o qualcosa del genere), quindi non è necessario gestirlo affatto. A seconda degli utenti e della base utente, questo può essere un enorme vantaggio per te e i tuoi utenti.
Se hai ancora la libertà di scegliere il framework per le applicazioni web che stai utilizzando, posso consigliare web2py. Ha un supporto integrato per l'autenticazione, la gestione dei log-in e molte altre esigenze di sicurezza. È stato progettato fin dall'inizio per rendere molti problemi di sicurezza (ad esempio, XSS, SQL injection, attacchi di gestione delle sessioni, ecc.) Quasi impossibile. E, come bonus, è bello, pulito e facile da imparare.
web2py: fai un tentativo.
Leggi altre domande sui tag java authentication web-application appsec