JAAS想必大家都不陌生,可真的使用起来怎么总感觉不怎么顺手。。。。
还请大家指教一二。。
一般的使用JAAS只需要在配置文件中指定就OK了,譬如Web 模块,配置也能解决问题,可配置只能验证用户名和密码两项,如果我加入一个验证码,怎么实现?直接连到数据库进行密码和用户名的查询比较?可JAAS不就形同虚设了吗?以前可以用配置解决的安全问题至少要写个Filter来实现了。。。。。
可如果涉及EJB调用怎么办?所谓的声明式安全如何具体实现?
困惑中。。。。。。。。。。。。。。。。。。。。。
还有就是如果我想在登录成功后验证用户的密码是否过期之类的东西。。。此类问题怎么解决呢
其实我是想,在不放弃JAAS 的前提下,是否能够有更大的灵活性。。。。。
好像在Tomcat 中是使用一个JDBCRealm实现登录及其user-role 映射的。。。
实在没有办法就只有自己找源代码拓展小猫的性能了 。。。。。。。。。。
可移植性不好。。。。。。
可否一劳永逸呢...................
tomcat的JDBCRealm实际就是JAAS实现拓展,但是必须要求你的user数据表字段设计是一定的,否则不能用Realm,Jivejdon3就使用了不同的user数据表设计,结果无法移植到tomcat下了。
所以,有些痛定思痛支持JAAS框架,如Spring 的Acegi框架,就类似Realm,但是配置也具复杂。