小编典典

基于Java EE的Web应用程序服务器中的JAAS安全性是否受到依赖?

tomcat

我是Java EE开发的新手,但是我做得不错,我对应用程序的安全性部分感到困惑。

我已经阅读了几篇有关如何在Java EE
Web应用程序中实现JAAS安全性的文章。这是我阅读并理解的内容,其他人不清楚:http : //uaihebert.com/user-login-validation-
with-jaas-and-jsf/

这个例子很棒,除了配置JBoss服务器外,其他所有东西都配置了,我不使用JBoss,我也不打算这样做。如果要使用JAAS,是否需要配置正在运行(开发)的本地Web服务器?也许有些事情我对JAAS不太了解?而且,如果我要遵循该示例并使用JBoss并按照他们的配置进行配置。当我将Web应用程序部署为war文件,并在warmcat服务器上上传war文件时,该文件仍然受到保护吗?

任何帮助/指导将不胜感激!谢谢!


阅读 324

收藏
2020-06-16

共1个答案

小编典典

Java EE中不存在JAAS安全性。JAAS是一个Java
SE框架,用于在类级别保护资源。您可以使用它来限制所下载的代码(例如Applets)可以在计算机上执行的操作。

使用Java EE,情况就相反了。您不会为单个用户(您在计算机上)下载未知代码,但是未知用户会登录到您的代码(在服务器上运行)。

由于一些服务器使用术语JAAS来表示最近称为“身份存储”(存储用户和ldap之类的东西)的服务器特定实现,因此会造成一些混乱。

但:

  • 仅使用了令人尴尬的一小部分JAAS(某些类型,例如LoginModule)
  • 声称使用JAAS的服务器都以不同的方式进行操作,以至于您只想知道为什么他们从一开始就为之烦恼
  • 到目前为止,并不是每个服务器都使用JAAS。Tomcat,Jetty,Resin,Liberty和WebSphere根本不使用它。
2020-06-16