About JAAS

使用jaas能构建一个灵活安全的权限管理机制，最近看了些这方面的文档，有些问题却百思不得其解，jaas是通过policy文件来进行角色控制的，但实际的系统中应该是给用户一个权限管理的界面，数据应该是在database里存放的，不会用户每次角色分配，都要手工去编辑policy文件，然后再去restart web server 吧！
当然最大的可能就是我的理解还太肤浅，不知这里有没有人帮指点一下！
另外，这里又一篇jaas和struts整合的文章，个人觉得很不错，希望对jaas感兴趣的有些帮助和启发！
http://www.mooreds.com/jaas.html

这和不同的应用服务器实现有关系的，例如Tomcat这样的玩具App Server来说，就是定义xml配置文件里面配置用户。如果是WebLogic这样的Enterprise App Server，就可以适配成多种方式，例如写到文件中，写到数据库中，写到LDAP Server中，写到Windows AD中等等，甚至你还可以自己编写一个适配器类来适配任何你想使用的权限系统。

robbin 你好：
首先谢谢你的答复，你提到的“基于jaas可以自己编写一个适配器类来适配任何想使用的权限系统”，我不是很明白，能不能详细谈一下如何实现，可以把数据库里的权限信息，和jaas依赖的policy文件关联起来？

前一段时间由于工作需要，我实现了一个使用适配器模式实现的基于JAAS的权限管理系统，策略可以存储于文件，数据库，ldap，甚至可以直接使用NT鉴权机制，非常方便，而且和特定应用服务器无关，直接改变虚拟机的安全设置。
在加上使用AOP分离业务和安全，真是太美妙了。

如果方便就share给大家吧！

又查了些文档，大致有了些了解，就是sun.securety.provider.PolicyFile是Policy机制的默认实现，自己可以扩展自己的 java.security.Policy类

ahbbxie
谈到的用AOP分离权限和业务，倒令人很感兴趣，一直以为AOP还停留在理论上，一些基于AOP的框架如AspectJ，或者部分基于AOP的框架如SPring,真正用于系统中的好像还少之又少！所以，很希望ahbbxie能谈一下您的思路！

http://www.matrix.org.cn/article/638.html
可以参考这篇文章，我也是参考它的源码的，由于工作原因，我的代码无法共享给大家，请大家谅解。