java-ee – 简单来说,任何人都可以向我解释JAAS,JACC和JASPIC之

这对于Java EE来说并不直接,这是关于用户级别的安全性(你相信用户).

一些Java EE服务器可以使用基于JAAS LoginModules进行身份验证的东西,但JAAS的这种用法是非标准的,并且与Java SE中的功能相比非常浅.由于某种原因或其他原因,由于这个人认为Java EE中的安全性称为JAAS,但这完全相反.

JASPIC是Java EE 6服务器必须创建和插入其他身份验证机制的扩展点.您可以使用它来创建OAuth,OpenID等机制. JASPIC是与您的用户互动.它没有提到从LDAP或数据库等方面获取用户数据.您可以使用自己的代码或通过调用JAAS LoginModule来执行此操作. JASPIC确定如何以更加标准的方式将JAAS LoginModule连接到您的自定义机制.太糟糕了,还不是100％的标准,但至少要更好.

JACC是授权机制的另一个扩展点.您可以使用它以不同的方式进行授权,或只是审核授权. JACC还使您在web.xml中定义的所有安全限制可用于您的代码.您可以使用它来预先检查用户是否可以访问页面.与JASPIC不同,JACC在您的应用程序中很难实际激活.你需要混淆JVM参数等