JAAS中的认证与授权问题

08-09-10 yongbuyanbai
在WEB应用中,通过应用服务器提供的登陆模块,比如databaseloginmodule,就不用个人实现登陆模块,然后按照应用服务器配置好,在web.xml中配置好了login-config登陆模式,这样就可以完成了用户登陆的认证了,而且借助JAVA中的安全注释,可以设置业务方法的访问权限,这些访问权限名是针对web.xml中或者ejb-jar中的安全角色设定的!,这样就保证了用户能够对业务方法进行权限控制,所有操作都是通过应用服务器完成的,那么是不是我们在这里就不用写任何的代码,按照在JIVEJDON中的代码那样完成权限控制就可以了,完全采用声明式的,不用与业务代码耦合,而且其他类似的系统都可以采用这样的方式呢?
    

freebox
2008-09-10 20:47
对于不是基于权限的系统,只要弄清楚角色所拥有的权限就可以了,都可以声明式处理,甚至细化到对单个对象的权限控制也不复杂。

另外建议用xml来管理权限控制,不要用java5注释。

banq
2008-09-11 09:49
>那么是不是我们在这里就不用写任何的代码,

不完全是,比如jivejdon帖子编辑权限检查还是要有代码的,只有帖子的发表者(拥有者)才可以修改,这就是资源数据的安全性了。除此以外可以用JavaEE的安全体系或acegi之类框架配置实现。

猜你喜欢