Наша команда имеет REST-сервер и веб-приложение, разработанное с использованием Jersey.В настоящее время мы поддерживаем только аутентификацию в нашем приложении с использованием OpenID [1].Мы планируем ввести авторизацию.В своем исследовании я обнаружил, что авторизация на основе ролей - это один из способов реализации этого.Этот подход заключается в том, чтобы иметь наши собственные таблицы, такие как user, привилегии и user_privileges, и мы назначаем пользователям необходимые привилегии (отображение один-на-много).
У меня есть следующие вопросы:
Поскольку у нас есть веб-приложение и REST-сервер.Если авторизация будет реализована «внутри» REST-сервера или на сервере веб-приложений.
Хотелось бы понять преимущества использования структур безопасности Java, таких как JAAS, Apache Shiro, OACC,Аннотации безопасности Java [2] (@RolesAllowed), кроме возможности повторного использования кода, простота реализации.
Также хотелось бы получить рекомендации о том, какую платформу выбрать из вышеупомянутого (JAAS, ApacheШиро, OACC, аннотации безопасности Java), если это предлагается.
Спасибо.
[1] https://en.wikipedia.org/wiki/OpenID
[2] https://docs.oracle.com/javaee/7/tutorial/security-javaee002.htm