Выпущен Apache Shiro 2.0

Выпущена версия Apache Shiro 2.0. Фреймворк безопасности Java теперь требует как минимум Java 11, а также добавлена поддержка Jakarta EE 10.

Shiro - это фреймворк, выполняющий аутентификацию, авторизацию, криптографию и управление сессиями, и, по словам команды, призван управлять всеми аспектами безопасности вашего приложения, оставаясь при этом максимально отстраненным.

Разработчики утверждают, что он позволяет настраивать поведение в любом месте, где вы только можете себе это представить, но при этом он был разработан так, чтобы иметь разумные настройки по умолчанию для всего, и быть настолько "свободным от рук", насколько это возможно для безопасности приложений.

Shiro (название в переводе с японского означает "замок") поддерживает аутентификацию по одному или нескольким подключаемым источникам данных, включая LDAP, JDBC и ActiveDirectory. С его помощью можно выполнять авторизацию и управление доступом на основе ролей или тонких разрешений. По словам команды, Shiro обладает первоклассной поддержкой кэширования для повышения производительности приложений.

Shiro также имеет встроенное управление корпоративными сессиями на основе POJO и может использоваться как в веб-средах, так и в не-веб-средах, а также в любых средах, где требуется единый вход (SSO), кластеризованные или распределенные сессии.

Одной из сильных сторон Shiro является поддержка гетерогенного доступа к клиентским сессиям, что означает, что Java-разработчики могут избежать использования httpSession или Stateful Session Beans, которые, по словам команды, часто излишне привязывают приложения к конкретным средам. Flash-апплеты, приложения C#, Java Web Start и Web-приложения теперь могут совместно использовать состояние сеанса независимо от среды развертывания.

Поддержка простого единого входа (SSO) использует это корпоративное управление сеансами, что означает, что при объединении сеансов в нескольких приложениях состояние аутентификации пользователя также может быть общим.

В Shiro минимальное количество необходимых зависимостей; для автономной конфигурации требуется только slf4j-api.jar и один из связывающих .jars slf4j. Для веб-конфигурации дополнительно требуется commons-beanutils-core.jar. Зависимости, основанные на функциональности, такие как кэширование Ehcache, проверка сессий на основе Quartz и инъекция зависимостей Spring, могут быть добавлены при необходимости.

Все API Shiro основаны на интерфейсе и реализованы в виде POJO, что позволяет легко конфигурировать компоненты Shiro Cryptography с помощью JavaBeans-совместимых форматов, таких как JSON, YAML и Spring XML. Он также предоставляет упрощенную обертку для JCE, расширения Java Cryptography Extension.

Основные улучшения в этой версии начинаются с перехода на использование Java 11 в качестве минимально поддерживаемой версии JVM, а также добавления поддержки Jakarta EE 10. В практическом плане в новой версии используются более сильные алгоритмы хеширования паролей по умолчанию в виде Argon2 и BCrypt.

Появился новый модуль интеграции с Jakarta EE, а также поддержка SpringBoot 3.x, хотя SpringBoot 2.x также поддерживается.

Наряду с длинным списком других мелких улучшений, в новой версии также появилась функция автоматической повторной отправки формы по истечении сессии в Jakarta EE.

Shiro 2.0 доступен уже сейчас.