我是Java EE开发的新手,但是我做得很好,
我对应用程序的安全性部分感到困惑。

我已经阅读了几篇有关如何在Java EE Web应用程序中实现JAAS安全性的文章。这是我阅读并了解的内容,其他人不清楚:
http://uaihebert.com/user-login-validation-with-jaas-and-jsf/

这个例子很棒,除了配置JBoss服务器外,其他所有东西都配置了,我不使用JBoss,我也不打算这样做。如果要使用JAAS,是否需要配置正在运行(开发)的本地Web服务器?也许有些事情我对JAAS不太了解?
而且,如果我要遵循该示例并使用JBoss并按照他们的配置进行配置。当我将Web应用程序部署为war文件,并在warmcat服务器上上传war文件时,该文件仍然受到保护吗?

任何帮助/指导将不胜感激!
谢谢!

最佳答案

Java EE中不存在JAAS安全性。 JAAS是一个Java SE框架,用于在类级别保护资源。您可以使用它来限制所下载的代码(例如Applets)可以在计算机上执行的操作。

使用Java EE,情况可以逆转。您不会为单个用户(您在计算机上)下载未知代码,但是未知用户会登录到您的代码(在服务器上运行)。

由于一些服务器使用术语JAAS来表示最近称为“身份存储”(存储用户和ldap之类的东西)的服务器特定实现,因此会造成一些混乱。

但:


仅使用了令人尴尬的一小部分JAAS(某些类型,例如LoginModule)
声称使用JAAS的服务器都以不同的方式进行操作,以至于您只想知道为什么他们从一开始就为之烦恼
到目前为止,并不是每个服务器都使用JAAS。 Tomcat,Jetty,Resin,Liberty和WebSphere根本不使用它。

10-08 19:56