JAAS微服務認證

Question

我想設計一個處理多個J2EE應用程序的用戶認證的JAAS微服務。目前，我們有多個應用程序可以根據我們的LDAP進行身份驗證，並且具有獨立的角色系統。 現在我被困在設計應用程序和身份驗證後端之間的接口。

通過自定義LoginModule：設計，它使用一個不安全的EJB接口從我們的login服務的身份驗證和授權自定義登錄模塊，但我記得讀取登錄模塊無法使用EJB/EJB的使用注射。

這是否是正確的起點，還是我有其他可能性來重構JAAS安全性？有人做過這樣的事嗎？

Answer 1

我之前一直對Java安全感到好奇。我發現很好的框架Picketlink。儘管它需要相當高的入門門檻，但它比JAAS更加靈活，並且可以處理大多數典型需求。