JAAS를 사용하여 Java EE 애플리케이션을 보호하는 방법을 이해하려고합니다.JAAS - 웹 티어에서 사용자를 인증하는 방법은 무엇입니까?
실제로 EJB에서 규칙을 사용하는 방법을 이해합니다. 그러나 웹 계층에서 사용자를 인증하는 방법을 이해하지 못합니다. 예를 들어 로그인 양식을 사용하여 간단한 JSF 페이지를 만들고 주어진 사용자 이름 &을 DB 및 성공의 경우 내 응용 프로그램 내에서이 사용자의 사용자를 설정하는 방법
일반적인 방법은 무엇입니까? 가능한 한 많은 AS 독립 솔루션을 갖고 싶습니다.
JAAS는 이것을 수행하는 보편적 인 표준이 아닙니다. 실제로 JAAS 로그인 모듈은 Java EE 인증에 적합하지 않습니다. 전체 JAAS 모델은 로컬에서 실행되는 Java 응용 프로그램 용으로 작성되었으며 코드베이스를 서로 차폐합니다 (예 : 파일 시스템에서 읽을 수있는 특정 jar).
Java EE 서버가 신뢰할 수없는 코드를 실행하는 것은 매우 드물기 때문에 JAAS가 제공하는 많은 기능이 사용되지 않습니다. 이 주제에 대한
두 아주 좋은 기사는 다음과 같습니다 일반적인 방법은이 일을 무엇
?
불행히도 일반적으로 AS 특정 것을 사용하고있었습니다. 이 "물건"에 대한 용어는 AS에만 적용됩니다. "영역", "보안 도메인", "영역", "로그인 모듈"및 그 밖의 다른 것을 아는 사람으로부터 무엇이라도 호출 할 수 있습니다.
가능한 한 많은 AS 독립적 솔루션을 갖고 싶습니다.
다행히도 완전히 AS-독립을 넘어 자바 EE 6과,이 작업을 수행하는 표준 방법이 : JASPIC의 인증 모듈.
그러나 다른 응용 프로그램 서버는 항상이를 완벽하게 지원하지는 않습니다. 물론 Java EE 표준의 일부이므로 공급 업체가 반드시 지원해야 함을 의미하지만, 이것이 사양대로 모든 것을 구현한다는 것을 의미하지는 않습니다 (대신 TCK가 테스트하는 내용 만 구현합니다).
내가 JASPIC에 대한 자세한 정보를 원하시면 쓴 다음 두 기사보기