Общие сведения об аутентификации на сервере приложений Java

В настоящее время я работаю над проектом, работающим на JBoss AS 7, который требует аутентификации из различных источников. Я пытаюсь получить представление о различных компонентах, которые в совокупности обеспечивают аутентификацию.

У меня есть некоторые предположения/догадки относительно того, как все это сочетается друг с другом, но мне нужно убедиться, что мое понимание верно. Итак, ниже я понимаю процесс аутентификации для JBoss AS7.

У вас есть область безопасности, которая определяет, как пользователи аутентифицируются. Затем эта область открывается вашему приложению, чтобы защитить ее частично или полностью. В AS7 это настраивается в элементе .

Область может быть настроена для аутентификации пользователей в различных источниках с использованием модулей входа в систему, таких как база данных, LDAP, локальный файл или что-то еще. Можно определить несколько модулей входа в систему, и вы можете указать, что некоторая комбинация модулей входа в систему должна быть «успешной», чтобы произошла аутентификация.

Фактические имя пользователя и пароли передаются с помощью механизма, определенного в файле web.xml (для сервлетов), определенного в элементе .

Предполагая, что описанный выше процесс является правильным (а это может быть и не так):

• Подпадает ли весь этот процесс аутентификации под такую ​​спецификацию, как JAAS, или JAAS является лишь небольшой или необязательной частью этой процедуры?
• Все ли типы (например, BASIC, DIGEST и FORM) работают со всеми типами модулей входа? На этой страницеможет показаться, что нет, но я не видел четкой документации, соответствующей параметрам и параметрам.
• Путь имени пользователя и пароля от конфигурации входа в модуль входа кажется достаточно прямым, но что происходит с такими системами, как OpenID или OAuth, где есть промежуточные шаги (например, перенаправление на внешние страницы входа)?
• Как такие проекты, как Seam 3 Security, Apache Shiroи Spring Securityвписываются в эту картину?