是否有任何 ACL 解决方案用于控制 JAAS 控制的 EJB 中的域对象数据访问?
在 Spring security ACL这方面已实现。使用 JavaEE 对域对象进行 ACL 所需的 API,或者 Spring Security 和 JAAS 的集成解决方案。
最佳答案
我不确定访问控制列表是否足够。您需要考虑基于角色的系统 (RBAC) 或基于属性的访问控制系统 (ABAC)。
然后您可以从 EJB 调用:我的用户可以访问此域对象吗?,得到“是/否”返回并强制执行。
这是您的选择 - Spring Security 实现了 RBAC。 - XACML 实现ABAC。 XACML 有多种可用的实现(开源的和供应商的,例如我工作的 Axiomatics 。)。
如果您想了解访问控制模型的背景信息,可以查看以下内容:
- 基于角色的访问控制:wikipedia | NIST project page
- 基于属性的访问控制:wikipedia | NIST project page
关于java - EJB 的访问控制列表 (ACL),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19927024/