是否有任何 ACL 解决方案用于控制 JAAS 控制的 EJB 中的域对象数据访问?
在Spring 安全 ACL中实现了这一方面。ACL 所需的 API 与 JavaEE 的域对象,或 Spring Security 和 JAAS 的集成解决方案。
问问题
398 次
1 回答
1
我不确定访问控制列表是否足够。您需要查看基于角色的系统 (RBAC) 或基于属性的访问控制系统 (ABAC)。
然后您可以从 EJB 中调用:我的用户可以访问此域对象吗?,得到一个是/否的回复并执行它。
这是您的选择 - Spring Security 实现了 RBAC。- XACML 实现 ABAC。有多种 XACML 实现可用(开源和供应商,例如我工作的Axiomatics。)。
如果您想了解访问控制模型的背景信息,可以查看以下内容:
于 2013-11-20T11:58:07.733 回答