权限系统是自已实现好还是利用容器安全管理实现好

songzq 03-06-10
    

最近在研究tomcat时,了解到servlet容器可以用users /roles 再加上在web.xml中配置访问安全角色控制,以前我都是自已编程来判断的,
倒底用容器来管理好呢,还是自已编码好,请有经验的大侠给些建议,理由是什么

    

link
2003-06-13 17:04

这主要看你是安全权限是处于哪个等级的:系统级、应用级。如果系统的级的安全管理。当然要采用容器本身的安全机制。但是对于应用级的。是自己定制。对于用户而言,他们是操作着你所开发的应用级的安全机制。而系统级的安全机制从广义上讲维护着你的整个中间系统的安全。这是我自己的一点理解。请各位不惜指教。

banq
2003-06-13 17:15

容器实现好,可重用性强,特别是JAAS,J2EE容器都支持。
这样你不必每套系统再开发一套权限系统,我现在就是这样,我的权限系统已经作为一个组件框架,可以在具体项目中Plug-in!

bruce
2003-06-15 11:17

你好,Banq

前段时间在设计模式中呆了三个星期,多谢你的指点,现在准备开辟第二战场到这里。由于近三年没有再接触J2EE那套东西了,该忘记的也早就忘记了。现在准备重新开始,但我发现Java一日千里,现在压力比较大。

OK,言贵正传, 我的想法与Link的一样,利用容器安全管理实现是系统级的。很难在实际应用中细化到用户。其实这和microsoft 的MTS中的COM组件是一个道理。

不知你上面的贴子是不是只是说系统级的权限?

link
2003-06-15 14:17

实际上用户级的权限控制,如果就3层应用的来讲应该是指中间应用服务器对最终用户的读、写企业数据仓库的安全控制。采用组和操作员的两个最基本的单位。实际上和win2000的安全概念是一致的。但是如何保证用户级的权限控制的安全呢?这就要采用容器的安全机制,基于j2ee的安全定义。这就是所谓的系统级安全。实际上这两组相符相承才能真正做到在实际3层架构的应用中安全定制的通用性。目前,我整在一个项目中实施这样的想法。

2Go 1 2 下一页