Java EE中不存在JAAS安全性。JAAS是一个Java
SE框架,用于在类级别保护资源。您可以使用它来限制所下载的代码(例如Applets)可以在计算机上执行的操作。
使用Java EE,情况就相反了。您不会为单个用户(您在计算机上)下载未知代码,但是未知用户会登录到您的代码(在服务器上运行)。
由于一些服务器使用术语JAAS来表示最近称为“身份存储”(存储用户和ldap之类的东西)的服务器特定实现,因此会造成一些混乱。
但:
- 仅使用了令人尴尬的一小部分JAAS(某些类型,例如LoginModule)
- 声称使用JAAS的服务器都以不同的方式进行操作,以至于您只想知道为什么他们从一开始就为之烦恼
- 到目前为止,并不是每个服务器都使用JAAS。Tomcat,Jetty,Resin,Liberty和WebSphere根本不使用它。
