我正在学习Java EE并遇到与安全相关的问题。 Java EE具有领域,用户,角色等等。如果当前用户具有被授权的所需角色 - 他是另一方面他失败了。我的问题是 - 如何使java ee安全服从这样的安全约束 - 个人用户的数据只对他可见。从理论上讲,我可以为每个用户创建他的“角色”,并以编程方式检查用户是否拥有拥有该数据的用户的角色。对我来说,似乎是非常不方便的解决方案(很多很多角色)。 Java EE Security是否能够处理标题中的安全约束?
答案 0 :(得分:0)
没有。 Java EE的标准安全模型不直接解决这种每用户安全问题。
相反,您需要手动操作。无论何时处理敏感数据请求,您都需要编写检查用户身份并允许或拒绝请求的代码。如果您有可用的JAAS上下文,则可以通过EJBContext::getCallerPrincipal,HttpServletRequest::getUserPrincipal或使用JAAS找到用户的身份。
是的,这令人难以置信的尴尬和痛苦。不,Java EE中没有任何东西可以让这更容易。可能有第三方图书馆有帮助,但我恐怕不知道。