Java EE 中的用户管理安全性

Question

我想在 Java EE 6 应用程序中保护我的 JSF 页面。

我想将用户和角色存储在数据库中，并让特权用户通过 Web 工具管理它们。特权用户将用户添加到角色，并将某些页面设置为需要某些角色才能访问。

在我看来，容器管理的安全性不允许我这样做。 JAAS 会成为未来的方向吗？

任何建议和示例链接将不胜感激。

Answer 1

简短的回答是肯定的。 JAAS 将允许您使用 LoginModule 管理数据库的安全性（许多容器实现 JBoss 提供这些预装的开箱即用），您可以查看这篇文章（http://weblogs.java.net/blog/2006/03/07/repost-using-jaas-jsf）或这本书（http://www.java.net/external?url=http://purl.oclc.org/NET/jsfbook/）了解如何对用户进行身份验证并确定授权参数的更多具体信息与 JAAS 和 JSF 一起。

对于您的第二个要求，我看不出您有任何理由可以创建一个可以访问这些表来修改凭据信息的单独工具。尽管这个问题似乎已经通过使用 LDAP 提供程序和许多免费开源 Web 界面中的任何一个来解决。

由于关注点明确分离，另一个漂亮的功能是您以后可以轻松地迁移到 LDAP 或第三方服务，而无需付出任何努力。

Answer 2

我建议您查看 Spring Security。

Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。

这是一篇解释使用 的文章Spring Security 与 JSF。