我想在Java EE 6应用程序中保护我的JSF页面.
我想将用户和角色存储在数据库中,并让特权用户通过Web工具管理它们.特权用户会将用户添加到角色并将某些页面设置为需要某些角色才能访问.
在我看来,容器管理的安全性不会让我这样做. JAAS会成为前进的方向吗?
任何建议和示例链接将不胜感激.
最佳答案
简短的回答是肯定的. JAAS将允许您使用LoginModule管理数据库的安全性(许多容器实现JBoss提供这些预先开箱即用的容器),您可以查看本文(http://weblogs.java.net/blog/2006/03/07/repost-using-jaas-jsf)或本书(http://www.java.net/external?url=http://purl.oclc.org/NET/jsfbook/)以获取更多细节如何验证用户并使用JAAS和JSF确定授权参数.
对于您的第二个要求,我看不出有任何理由可以创建一个可以访问这些表来修改凭据信息的单独工具.虽然这似乎是一个问题,已经通过使用LDAP提供程序与许多免费和开源Web界面中的任何一个来解决.
由于关注点明显分离,另一个漂亮的功能是您以后可以轻松地轻松迁移到LDAP或第三方服务.