我认为他对他的问题非常具体,但我还不知道答案。
在任何构建良好的企业应用程序中,您都有两个安全级别: (a)功能ACL。 用户可以在脸书中搜索其他内容吗? (等等..
(b)您授予哪些数据读取和更新权限。 例如您可以在Facebook中打开和阅读哪些用户个人资料? 对于某些用户,例如在您的朋友列表中,您可以看到他们的个人资料。对于其他人,你不能。
因此,您可以打开列出实体的JSP这一事实并不意味着您将能够在系统中销售完整的实体集。
(a)可以轻松解决Java EE用户和角色安全概念。
(b)如何将数据库数据与特定的JNDI用户和角色相关联?
在数据访问ACL方面,您是否必须重新发明轮子?
我想你需要 Spring安全框架 。使用此框架,您可以为不同的用户分配不同的角色。例如,我们可以定义两个角色:ROLE_USER,ROLE_ADMIN。然后我们将这些角色分配给用户。例如,用户A只能有一个角色,ROLE_USER和用户B可以同时拥有这两个角色。现在,如果在特定的JSP上,您只想向用户B显示某些内容,则可以将代码放入一对授权标记中:
<sec:authorize ifAllGranted="ROLE_USER, ROLE_ADMIN"> <!-- html, jsp scriplets, jstl tags inside here will be visible to user B only --> </sec:authorize>
同样,如果你想向他们两个展示一些东西:
<sec:authorize ifAllGranted="ROLE_USER"> <!-- anything inside here will be visible to both users --> </sec:authorize>
希望能帮助到你。
您正在寻找授权解决方案吗?你已经检查过JAAS,OSUser和similars吗? 身份验证要求可能有很大差异,我认为您需要更具体,尝试添加用例。