我想在专用应用程序中管理用户和角色。例如,该应用程序的用户(“customerX boss”)可以创建新角色“customerX employee”。如果员工访问Java EE应用程序服务器(GlassFish 3),他应该获得“customerX employee”角色。
听起来很简单,但Java EE不支持它,因为组在启动时映射到角色,应用程序中的角色是静态的。
在Java EE(6)环境中在运行时管理用户角色的最佳方法是什么?
答案 0 :(得分:12)
Java EE中的声明性安全性确实不适合此类要求。安全问题可分为两部分:
我曾经有类似的要求。我们使用内置身份验证来设置主体,然后依赖于默认的Java EE登录机制。但我们最终在应用级别手动管理授权部分。
实际上,甚至需要在isUserInRole或{{1}中指定将加载并与主体相关联的角色(Web的isCallerInRole和EJB的web.xml)。它没有提供足够的灵活性。然后我们从LDAP或ActiveDirectory手动加载角色(根据主体)。然后我们使用EJB3拦截器和Servlet过滤器来自行执行安全检查。
我们还看了JSecurity和Acegi Security,看起来很有趣。