问Scala web应用程序安全性

EN

正如Lift的作者David Pollak所描述的那样，Lift内置了安全性。

我在小型Scala web应用程序中使用了Spring Security。我在开始学习Scala时创建了它，并尝试使用完整的Java栈: Spring MVC + Spring + Spring Security + Hibernate + BlazeDS (我在这个项目中也使用了Flex作为前端)。现在我可以说，这真的是一次非常美好和积极的经历。一般来说，问题是scala与Spring和Hibernate的集成有多好。我不得不在实体中使用@BeanProperty或@BeanInfo和java集合。

但是我还没有遇到来自spring安全方面的任何实际问题。它的工作情况与预期一致。我只记得Spring AOP有一个小问题:服务类通过BlazeDS将它们的方法发布到flex应用程序。我还使用Spring Security的对象ACL(使用<security:intercept-methods />和<security:protect />)保护它们。当然，所有这些都是由于AOP的魔力而成为可能的。所以我注意到了Spring AOP的这种行为--如果你的类实现了一些接口，那么它将使用JDK的代理来实现它们，并将所有调用委托给目标，但如果类没有实现任何接口，那么它将使用cglib来扩展你的类，并委托每个方法调用。问题是我的公共服务类没有实现任何接口，但是AOP没有正常工作。原因是所有scala类都实现了ScalaObject接口。所以我为所有的公共服务创建了新的特征来解决这个问题(我还没有找到任何方法来配置Spring AOP --看起来这个行为是硬编码的)。

因此，正如您所看到的，在Scala中使用Spring Security不是问题。我相信使用Apache Shiro应该更容易，因为它声称完全独立于容器或环境(我听说可以在Spring之外使用Spring Security，但我也听说这很痛苦)。通常，在Scala中，您可以在Java中归档所有可以归档的内容。问题是生成的代码会有多漂亮/习惯用法/纯净/无副作用。

顺便说一下，有一个集成了Lift和Apache Shiro的新项目：lift-shiro。你也可以在small blog post上找到它。

希望这能有所帮助。