Java EE 服务器上的动态角色

Question

我想在专用应用程序中管理用户和角色。例如，此应用程序的用户（“customerX 老板”）可以创建新角色“customerX 员工”。如果员工访问 Java EE 应用程序服务器 (GlassFish 3)，他应该获得“customerX 员工”角色。

听起来很简单，但 Java EE 不支持它，因为组在启动时映射到角色，而应用程序中的角色是静态的。

在 Java EE (6) 环境中运行时管理用户角色的最佳方法是什么？

Answer 1

Java EE 中的声明式安全性确实不适合此类需求。安全问题可以分为两部分：

• 身份验证
• 授权

我曾经有过类似的要求。我们使用内置身份验证来设置主体，然后依赖默认的 Java EE 登录机制。但我们最终在应用程序级别手动管理授权部分。

事实上，即使是要加载并与主体关联的角色（对于 Web 来说是 isUserInRole ，对于 EJB 来说是 isCallerInRole ）也需要在 web.xml 中指定 或 ejb.xml 无法提供足够的灵活性。然后，我们必须从 LDAP 或 ActiveDirectory 手动加载角色（根据主体）。然后我们使用 EJB3 拦截器和 Servlet 过滤器自行执行安全检查。

然而，我强烈建议坚持基于角色的访问控制（RBAC），而不是实现更奇特的东西。有几个框架可以帮助处理自制的 RBAC。

我们还查看了 JSecurity 和 Acegi Security 他们看起来很有趣。