Текущий подход в мое приложение Java SE является (один раз с проверкой подлинности) магазин только имя пользователя, как свойство системы, которое я понимаю, может иметь последствия для безопасностиJava SE - хранение текущего пользователя детали
Всякий раз, когда действие что требуется определенная роль, это имя пользователя используется для вызова в базу данных, чтобы проверить, имеет ли данный пользователь роль.
Я бы предпочел загружать все роли спереди, а затем проверить какой-либо объект «Пользователь», разрешены ли они для доступа. Тем не менее, все это нужно делать очень контролируемым образом.
Есть ли стандартный подход/рамки для этого? Готов к сведению, что я уже прошел проверку подлинности и просто хочу сохранить данные пользователя. Сохраняет ли текущий пользователь в качестве Singleton разумный способ приблизиться к этому?
JAAS is * not * универсально применим в Java EE. Это очень низкоуровневая система безопасности для базовых грантов на основе кода. –
@MikeBraun, Что такое стандартная безопасность Java EE? Я предлагаю вам глубже проникнуть в JAAS, чтобы посмотреть, что он предоставляет. Это правда, что JAAS он широко не использовал. –
Я выглядел довольно глубоко в JAAS. Это плохое соответствие Java EE. Когда вы входите в модуль входа JAAS, Java EE об этом не знает. Объект в JAAS представляет собой набор принципов, не имеющих стандартного сопоставления ролям Java EE и принципам пользователя. Вы можете интегрировать JAAS в Java EE через JASPIC, но это уменьшает JAAS до довольно немого поставщика роли/роли. –