Glassfish 身份验证：领域可以是外部数据库吗

Question

我对登录和身份验证概念完全陌生。我正在开发一个 Glassfish Web 应用程序，该应用程序应该向任何访问者呈现一般内容，并为使用用户名和密码登录的注册用户提供一些额外内容。

我一直在阅读有关安全性的 Java EE 教程，我认为基于表单或 HTTP 身份验证可以满足我的需求（在尝试浏览安全内容时，会要求访问者提供凭据）。

然而，我的第一个猜测是注册用户应该与他们的散列和加盐密码一起存储在外部数据库中。 Glassfish 中 Web 应用程序的安全性似乎依赖于直接在应用程序服务器上手动填充的领域（定义用户和组并将它们映射到应用程序中的角色）。

我是否误解了 Glassfish 的安全目的？或者领域可以是应用程序服务器之外的外部数据库吗？有关此主题的任何文档链接对我来说都是有用的。

提前谢谢你

蛋挞

Answer 1

这实际上是可能的。
在 Glassfish 中，转到 Configuration/Security/Realms，创建一个新领域并将类名设置为 com.sun.enterprise.security.auth.realm.jdbc.JDBCRealm。
指明与数据库绑定的JDBC资源，并指明存储用户名/密码的表和列。数据库还应包含一个表，用于记录用户必须属于哪些组才能被授予访问权限。也指出那些。

在应用程序中，像往常一样使用领域名称设置 web.xml 和 sun-web.xml。

Answer 2

这是一篇关于 glassfish 中的 jdbc 领域的文章，其中包含您所描述的场景： http://java-cookbook.blogspot.com/2011/02/jdbc-security-realm-with-glassfish-and.html