Безопасность, управляемая пользователем в Java EE

Question

Я хочу защитить свои страницы JSF в приложении Java EE 6.

Я хочу хранить пользователей и роли в БД, и привилегированные пользователи могут управлять ими через веб-инструмент.Привилегированные пользователи будут добавлять пользователей в роли и настраивать определенные страницы, требующие определенных ролей для доступа.

Мне кажется, что управляемая контейнером безопасность не позволит мне сделать это.Будет ли JAAS идти вперед?

Буду признателен за любые предложения и ссылки на примеры.

Answer 1

Краткий ответ - да.JAAS позволит вам управлять защитой от базы данных, используя LoginModule (многие реализации контейнеров JBoss предлагают их предварительно готовые из коробки), и вы можете проверить эту статью (http://weblogs.java.net/blog/2006/03/07/repost-using-jaas-jsf) или эту книгу (* 1004)* для более подробной информации о том, как аутентифицировать пользователей и определить параметры авторизации с помощью JAAS и JSF.

По второму требованию я не вижу никакой причины, по которой вы можете создать отдельный инструмент, который имеет доступ к этим таблицам дляизменить информацию о полномочиях. Хотя это кажется проблемой, которая уже была решена с помощью поставщика LDAP с любым из множества бесплатных и открытых веб-интерфейсов.

Еще одна изящная функция из-за четкого разделения проблемзаключается в том, что позже вы можете легко перейти на LDAP или сторонние сервисы без особых усилий.

Answer 2

Я рекомендую вам взглянуть на Spring Security .

Spring Security - это мощная и настраиваемая среда аутентификации и контроля доступа.

Вот статья, в которой объясняется использование Spring Security с JSF .