在JAAS控制的EJB中是否有用于控制域对象数据访问的ACL解决方案?
在Spring security ACL中,这方面得以实施。 ACL使用JavaEE的域对象或Spring Security和JAAS的集成解决方案所需的API。
答案 0 :(得分:1)
我不确定访问控制列表是否足够。您需要查看基于角色的系统(RBAC)或基于属性的访问控制系统(ABAC)。
然后你可以从EJB调用:我的用户可以访问这个域对象吗?,得到Yes / No并强制执行它。
以下是您的选择 - Spring Security实现了RBAC。 - XACML实现了ABAC。有几种可用的XACML实现(开源和供应商,例如我工作的那个,Axiomatics。)。
如果您需要有关访问控制模型的背景信息,可以查看以下内容: