Java EE安全性 - 個人用戶的數據僅對他可見

Question

我剛學習Java EE並遇到與安全有關的問題。 Java EE擁有領域，用戶，角色，這就是全部。如果當前用戶有要求授權的角色 - 他是另一方面他失敗了。我的問題是 - 如何使java ee安全服從這樣的安全約束 - 個人用戶的數據只對他可見。理論上，我可以爲每個用戶制定他的「角色」，並以編程方式檢查用戶是否擁有擁有該數據的用戶的角色。對我來說，這似乎是非常不方便的解決方案（很多角色）。 Java EE安全性能否處理標題中的安全限制？

Answer 1

編號Java EE的標準安全模型並未直接解決這種每用戶安全問題。

相反，您將需要手動。無論您何時處理敏感數據請求，都需要編寫檢查用戶身份並允許或拒絕請求的代碼。如果您有可用的JAAS上下文，則可以通過EJBContext::getCallerPrincipal,HttpServletRequest::getUserPrincipal或使用JAAS找到用戶的身份。

是的，這是令人難以置信的尷尬和痛苦。不，Java EE中確實沒有任何東西可以使這更容易。可能有第三方庫有幫助，但恐怕我不知道。