Концепция безопасности Java

Я настоятельно рекомендовал бы учиться JAAS. Действительно не настолько трудно взять, и существуют некоторые полезные учебные руководства и справочник на веб-сайте Sun.

По моему опыту, JAAS довольно широко используется, таким образом, это - определенно что-то, что Вы сможете снова использовать, после того как Вы изучены это. Это также, оказывается, один из стандартных блоков для механизма аутентификации Glassfish!

Я провел подобное исследование в JAAS для веб-приложения, и имеет, столкнулся с "контрольно-пропускным пунктом ума", пока я наконец не понимаю, что JAAS является безопасностью обращения платформы на другом "слое" затем традиционные веб-приложения в Мире Java. Это - сборка для занятия проблемами безопасности в J2SE не J2EE.

JAAS является сборкой концепции безопасности для обеспечения вещей на намного более низком уровне затем веб-приложение. Некоторым примером этих вещей является код и ресурсы, доступные на уровне JVM, следовательно все они способность установить файлы политики на уровне JVM.

Однако, так как J2EE является сборкой сверху J2SE, несколько модулей от JAAS было повторное использование в безопасности J2EE, такой как LoginModules и Обратные вызовы.

С другой стороны, Acegi, иначе безопасность Spring, занимается намного более высоким "слоем" в проблеме веб-приложения обеспечения. Это - сборка сверх безопасности J2EE следовательно J2SE следовательно JAAS. Если Вы не надеетесь защищать ресурсы на уровне J2SE (классы, Системные ресурсы), я не вижу реального использования JAAS кроме использования общего класса и интерфейсов. Просто внимание на использование Acegi или простой безопасности J2EE, которая решает много общих проблем безопасности веб-приложения.

В конце дня важно учиться, какой "слой" проблемы безопасности J2EE-J2SE Вы занимаетесь и выбираете инструмент (инструменты) записи для проблемы.