如何通过配置的方式让JAAS控制EJB的安全?

没有用过JAAS,不知道情况如何。在我们的系统里,权限控制一般是用LDAP统一进行的,再用AOP之类的方式把权限管理的代码织入到相关的方法中。
不太理解你提出的这个问题,为什么会提供一个nextIdNumber方法呢?如果通过任何一种权限管理方式在Person类中做了验证,就足以保证Person对象取到自己需要并且有权限的内容(也就是正确的Children列表)。允许Person对象去获得别的Person对象的ID,恐怕不太恰当吧?

解决方案 »

  1.   

    to Schlemiel(维特根斯坦的扇子) :提供nextIdNumber方法表示一种恶意代码,并非程序本身需要。另:JASS应用到控制EJB或者JSP大体的思路是怎样?
    需要配置哪些,自己需要编程实现哪些?
      

  2.   

    在一般的企业级应用中,通常会在service层用JAAS控制各个service方法的权限。而且,针对各个方法分别编写安全性代码也并不是好主意,一则编码量大,二则难以管理。一般来说,安全性问题会用Interception模式来解决,例如servlet环境下的filter,或者AOP织入。
    具体的实现我也没做过,自己研究SUN的文档吧。
      

  3.   

    to Schlemiel(维特根斯坦的扇子) :真服了你了,真么晚还在网上。
    Servlet Filter已经考虑了,在这里做Authentication不错,但是做Authorization显然不合适。
    AOP在当前项目中暂不考虑。
    还是只能JAAS或者扩展JAAS。