|
锁定老帖子 主题:JAAS 学习笔记
精华帖 (1) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (10)
|
|
|---|---|
| 作者 | 正文 |
|
发表时间:2009-04-22
benspring 写道 jaas框架刚开始是为了代码执行的安全性设计的,后来加入了subject和principal,User-Centric 的东西。policy文件只是java的一个默认实现,我们可以自己写policy代码的,check你所需要拦截的permission,例如需要对例如某行记录某人没有权限删除检查,policy 的implies可以包含这些决策信息,然后和后台的metadata数据库来比对,就可以知道当前用户有没有这样的权限了。有关容器的授权有个jacc的框架,似乎主流的container都有实现,可以check WebResourcePermission, EJBResourcePermission等等,大概是这样,我也记不清了。
我们现在就是把Tocmat,Jboss的容器安全部分接管,当然也可以两者同时使用。 |
| 返回顶楼 | |
|
发表时间:2009-09-14
zhxp791008 写道
JAAS应用于底层的安全控制,由SecurityManager、ClassCloader等完成,比如你想某个用户只能读取/tem的文件,或只能在10000 端口上监听,那这个时候JAAS是最好的方法。如需要实现“某个用户不能删除用户”进行控制,这是个业务的权限控制,可能JAAS是不适合的。可以自定义 Filter等方式实现,有很多应用用SpringSecurity实现,针对一些非常细的权限控制可能SpringSecurity可能无法完成,比如某个用户不能调用deleteUser.action这个功能,而这个信息保存在数据库中,可以动态通过界面进行修改。 我个人认为JAAS是个非常强大的功能,但是在真实的应用中我还没有用过(见过一个系统使用,但没有得到源码),并且使用还有很多知识需要学习。 不知道javaeye有没有人在真实项目中使用过JAAS。我想如果一个应用没有使用JAAS的话,这个系统是非常危险的,所有业务权限控制都会没用。 晕死,这些springsecurity早都有了,从JAAS和springsecurity背后的理念来看,核心的理念没有本质区别啊。支持jaas的童鞋都没有说清楚为什么好,究竟好在哪里。 |
| 返回顶楼 | |
