2

如果是在 Java EE 6 中验证用户的最佳方法之一。

在身份验证/用户登录中使用 JAAS 是否有充分的理由?谈包:

javax.security.auth

JAAS 应用程序到一个简单的 web 应用程序并不是微不足道的,所以这就是我要问的原因。这是一个例子。

无论如何,它可能需要授权。

4

1 回答 1

4

如果您打算依靠容器通过使用@RolesAllowed注释来强制授权,那么答案是肯定的,您将需要 JAAS。

至于它是否复杂,这实际上取决于LoginModule您将使用的实现。容器确实带有LoginModule开箱即用的实现,尤其是针对身份存储(如文件、LDAP 服务器或数据库)进行身份验证。如果这就是您所需要的,您可以使用它们而不是连接您自己的实现。

如果你真的想写出LoginModuleAntonio Goncalves 所做的那样,你需要了解 aLoginModule和 JAAS 的作用。他的模块CustomerService在身份验证过程中使用内置到他的应用程序中。该模块只是通过 CDI 查找CustomerServicebeanBeanManager并将所有身份验证请求委托给该findCustomer(username, password)方法。LoginException如果未找到提供的凭据的客户,则抛出A。

于 2012-11-15T16:28:06.530 回答