JAAS не очень подходит для веб-приложений.Это больше для настольных приложений, которые поддерживают интерактивные входы и доступ к локальным ресурсам, управляемым JVM, таким как файлы, сетевые сокеты.
Но если вы действительно хотите пойти по пути JAAS, подготовьтесь написать свой собственный LoginModule ивероятно CallbackHandler и Принципал.Наиболее важным классом является LoginModule.Возможно, вы сможете повторно использовать какой-то существующий класс Principal.
CallbackHandler будет извлекать маркер из URL.LoginModule будет искать этот токен в некоторой базе данных и заполнять переданный субъект некоторым принципалом.
Это может показаться странным, потому что термины довольно близки (субъект против принципала, LoginModule против CallbackHandler), поэтому документыдолжно быть на близком расстоянии.
После того, как вы все это сделали, вам также нужно будет настроить политику веб-контейнера для загрузки нового контекста входа (еще один очень связанный термин).Это похоже на настройку PAM в Linux.Попросите своего администратора сделать это за вас.
Но вы еще не закончили.Последняя задача - написать фильтр (я полагаю, вы разрабатываете что-то на основе сервлета Java).Этот фильтр должен быть подключен на самом первом уровне.Если он видит значение специального параметра (например, user_token), он получает настроенный объект LoginContext и вызывает его метод входа в систему.
Теперь, если вы полностью удалите JAAS, вы можете обойтись только с помощью фильтра сервлетов.В этом фильтре, если аутентификация прошла успешно, вы можете заполнить объект сеанса собственными объектами (такими как объект пользователя), чтобы обозначить успех.Гораздо проще.