我正在努力将群组,用户和角色的Java EE 6安全概念精神映射到Apache Shiro 角色,用户和权限的概念,我的理解是它们不兼容。
通过Java EE 6 security tutorial阅读似乎模型限制性过于严格:组是按服务器配置的,而不是按应用程序配置的,这实际上只留下了两个灵活性表达授权机制的概念:用户和角色,存在于简单的1对N关系中。相比之下,Shiro的角色模型,用户和权限更加动态,因为它可以让人们硬编码权限在注释的代码中,并在运行时修改角色到权限的映射,因为事情会发生变化或引入新角色。我不知道如何根据Java EE 6模型对容器管理的授权做同样的事情。
我的理解是否正确?因为这意味着人们无法通过容器管理的授权进行很长时间。