我正在学习 Java 安全 JCE/JAAS。我无法获得我们需要在实际 Web 应用程序中实现 JAAS 登录模块的示例。
任何人都可以指导我在我的 Web 应用程序中实现 JAAS 的位置吗?据我所知,这是身份验证和授权服务。
/// 如果我现在的理解是正确的,这意味着如果我们的网络服务器或任何其他网络服务器中正在运行任何服务(如 LDAP),并且如果我们想要使用该服务,那么我们需要实现 JAAS 来验证我们的应用程序。最佳答案
JAAS 是在容器上实现登录的一种方法。 JAAS 的主要好处来自以下事实:它是集成在 JRE 中的标准框架 - 因此您可以获得大量信息、示例、连接器等 - 并且它正确地分离了用户身份验证的各种问题。
特别是,它明确区分了身份验证(验证提供的凭据)和授权(授予用户的角色和权限)。
虽然身份验证通常是“通用”或“外部”的,例如使用 LDAP 服务器,但授权通常与您的应用程序紧密耦合:角色和权限通常特定于应用程序解决的业务问题。
实现您自己的 JAAS 模块是解决此问题的一种简单方法,同时保持在明确定义的框架的范围内,并且无需提供低级实现来注入(inject)具有登录周期和 session 管理的模块容器。
关于java - 我们在哪里使用 JAAS,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9861125/