Java EE 7 Autenticazione basata su modulo

Question

Attualmente sto lavorando a un'applicazione Web basata su Java EE 7, PostgreSQL e sul server di applicazione GlassFish 4. Devo implementare un'autenticazione basata su modulo e per proteggere alcuni URL sapendo che:

• gli utenti e i ruoli/gruppi (qualunque siano chiamati) sono memorizzati nel database.
• Volevo che la mia richiesta di essere il più "standard", come possibile (cioè Attualmente sto usando JSF e JPA, e nessun altro quadro come la primavera, si pavoneggia ...)

Dopo alcune ricerche, ho scoperto che Java EE ha fornito un meccanismo di autenticazione standard chiamato JASPIC. Quindi, ho concentrato la mia ricerca su JASPIC e ho letto più Stackoverflow Q/A e quegli articoli scritti da Arjan Tijms (È quasi impossibile trovare uno Stackoverflow Q/A relativo a Java EE senza una delle sue risposte o commenti, grazie a lui da tra l'altro):

• http://arjan-tijms.blogspot.fr/2012/11/implementing-container-authentication.html
• http://arjan-tijms.blogspot.fr/2013/04/whats-new-in-java-ee-7s-authentication.html
• http://arjan-tijms.blogspot.fr/2014/03/implementing-container-authorization-in.html

la mia domanda è: sarà JASPIC mi permetterà di fare quello che mi serve (autenticazione forma + restrizione URL con i ruoli) ed è vale la pena usarlo? Quello che voglio dire è: è forse più sicuro e più facile da usare un altro meccanismo.

Arjan Tijms afferma inoltre che l'utilizzo di JASPIC è "una specie di problema di gallina e uova" e se JASPIC è sicuro da utilizzare (non crea più problemi di quanti ne risolva), indipendentemente dall'importo di codice che ho bisogno di scrivere, voglio davvero essere "uno dei primi polli".

Answer 1

non faccio sapere JASPIC ma mi permetto di suggerire di dare un'occhiata al shiro framework

E ti permette di fare praticamente tutto ciò che serve in base alla post con configurazione minima.

Answer 2

Per l'autenticazione basata su modulo e l'autorizzazione, è necessario JAAS. passa attraverso follwing url- linK

Answer 3

Sto usando JASPIC per la mia autenticazione, ma JASPIC ha una limitazione con cui devi fare i conti (se vuoi le cose standard). Sei limitato a non avere dipendenze al di fuori dell'API Java EE 7. Ciò significa che l'accesso alle risorse JDBC che richiedono un driver non è una funzionalità esplicitamente dichiarata negli standard.

Nel mio OpenID Connect implementation ho usato Google come mio negozio sicuro, che mi presenta anche il modulo di accesso di Google. Questo è un grande esempio di utilizzo di JASPIC.

Per te, puoi esporre un EJB allo spazio dei nomi globale e usare InitialContext per ottenere il bean. Ci sarebbe una certa duplicazione del codice in quanto è necessario copiare il codice dell'interfaccia remota EJB in due punti e assicurarsi che i serialVersionID siano gli stessi su entrambi. L'EJB può essere utilizzato per connettersi alle risorse JPA per ottenere i dati di autorizzazione.

Utilizzare gli EJB, perché le altre due opzioni a cui si potrebbe pensare sono REST e SOAP che potrebbero rivelare qualcosa sulle porte Web e richiederebbero una configurazione aggiuntiva per impedire l'accesso non autorizzato o richiedere che vengano posizionate su un sistema diverso.

Una semplice implementazione JASPIC che ho creato nel caso in cui vogliate imparare è la HTTP Header JASPIC module che è intesa per l'integrazione con sistemi più complessi come SiteMinder.