ret*_*dev 5 java security containers jaas java-ee
我想在Java EE 6应用程序中保护我的JSF页面.
我想将用户和角色存储在数据库中,并让特权用户通过Web工具管理它们.特权用户会将用户添加到角色并将某些页面设置为需要某些角色才能访问.
在我看来,容器管理的安全性不会让我这样做.JAAS会成为前进的方向吗?
任何建议和示例链接将不胜感激.
简短的回答是肯定的。JAAS 将允许您使用 LoginModule 管理数据库的安全性(许多容器实现 JBoss 提供这些预装的开箱即用),您可以查看这篇文章(http://weblogs.java.net/blog/2006/03 /07/repost-using-jaas-jsf)或这本书(http://www.java.net/external?url=http://purl.oclc.org/NET/jsfbook/)了解更多具体信息如何进行身份验证使用 JAAS 和 JSF 用户并确定授权参数。
对于您的第二个要求,我看不出您有任何理由可以创建一个可以访问这些表来修改凭据信息的单独工具。尽管这个问题似乎已经通过使用 LDAP 提供程序和许多免费开源 Web 界面中的任何一个来解决。
由于关注点清晰分离,另一个漂亮的功能是您以后可以轻松地迁移到 LDAP 或第三方服务,而无需付出任何努力。