jaas，在数据库表上验证应用程序用户

Question

我想知道使用 jaas 对数据库表上的应用程序用户进行身份验证的最简单方法。
由于具有用户名/散列密码的数据库表可能是最常见的解决方案，因此是否有“提供”的 LoginModule 用于此类身份验证？

Answer 1

Tomcat 6 中的 JDBCRealm 支持来自-盒子。这可能足以满足大多数需求。请注意，Tomcat 还提供了 DataSourceRealm 以允许通过基于 JNDI 的 JDBC 数据源进行身份验证；这更适合需要专用连接池来访问身份验证数据源的应用程序。请注意，领域实现支持使用 摘要/哈希密码；但不是默认情况下。这需要通过每个领域的digest属性进行额外配置。

Glassfish 还支持使用 JDBC 领域对主体进行身份验证。有关创建领域的详细信息，请参阅 Glassfish管理指南。该指南可能会提供有关管理领域允许值的可怜文档 - 您可以在 博客文章。

如果您正在寻找管理领域中底层用户的方法，那么大多数/所有容器都没有提供相同的管理工具。您必须自己编写这些工具。

另外，如果您希望支持这些 Realm 实现不支持的摘要算法，或者让实现以不同的方式工作（例如向密码添加盐，或根据策略锁定用户），那么您需要推出您自己的实施。

现在，如果您希望在应用程序中使用这些，通常可以通过在应用程序的适当部署描述符中指定领域来完成。假设这是一个 Web 应用程序，您可以在 web.xml 文件。