JAAS真的需要身份驗證嗎？

Question

如果這是在Java EE 6中驗證用戶身份的最佳方法之一。

有沒有充分的理由在身份驗證/用戶登錄中使用JAAS？ 談論包裝：

javax.security.auth

JAAS應用於一個簡單的webapp並不是一件容易的事情，所以這就是我要問的原因。 這是一個例子。

無論如何，可能需要授權。

Answer 1

如果您將依靠容器通過使用@RolesAllowed注釋來強制執行授權，那么答案是肯定的，您將需要JAAS。

至於它是否復雜，它實際上取決於您將使用的LoginModule實現。 容器確實帶有開箱即用的LoginModule實現，尤其是對文件，LDAP服務器或數據庫等身份存儲進行身份驗證。 如果這就是您所需要的，那么您可以使用它們而不是連接您自己的實現。

如果你真的想寫一個類似Antonio Goncalves的LoginModule ，你需要了解LoginModule和JAAS的作用。 他的模塊在身份驗證過程中使用內置於其應用程序中的CustomerService 。 該模塊只是通過CDI BeanManager查找CustomerService bean，並將所有身份驗證請求委托給findCustomer(username, password)方法。 如果找不到提供的憑據的客戶，則拋出LoginException 。