j_security_check可以轻松地从ldap服务器加载用户。它为我节省了一张USER表。就像用户管理任务与系统分离一样。
但问题是,在具有复杂要求的生产系统中,许多数据与用户ID相关联。我对用户管理的期望不仅仅是登录/验证密码。例如,我有一个USER_MEMBERSHIP表,用于记录特定用户已购买的会员类型。如果用户通过j_security_check记录,我如何列出属于特定成员资格的用户?最终我在我的数据库中创建了另一个USER表,并在他们第一次登录时填写用户信息。如果我必须这样做,为什么我还要使用j_security_check?为什么不在我的数据库中验证密码,并切断form_login / ldap的共谋?
我在这里感到很困惑。说j_security_check仅用于简单系统是否公平?是否建议使用针对复杂Java EE应用程序的登录机制?
提前致谢。
答案 0 :(得分:0)
J_security_check是容器管理身份验证的一部分,它假设整个负担确保用户登录,将他们与角色相关联,并强制执行基于角色的访问应用程序的各个部分,如web.xml中的安全性条目。如果您不使用CMA,您将被判自行重新实施所有这些内容。这是可能的;它很容易出错;它正在重复已经完成的工作。并经过测试。