Java服務器代碼/ Web服務器中的基本/摘要認證實現

Question

我們需要在Java Web項目中支持基本認證和後來的摘要認證。 我的疑問是

• 無論基本/摘要認證是在Web服務器 （Tomcat的，JBoss的等）。我們的用戶/密碼是在SQL數據庫中，我們通過 得到DataService的這些配置。在這種情況下，我如何配置 Web服務器以使用數據服務進行身份驗證？
• 我是否需要在代碼中明確處理基本/摘要 身份驗證？就像我會收到來自 Servlet的認證請求，並將連接到dataservices進行認證？

Answer 1

基本和摘要認證由servlet規範覆蓋。閱讀規範或this tutorial知道它是如何工作的。

雖然存儲憑據以及如何檢查憑證是由每個容器決定的。 Tomcat支持各種Realm implementations（基於文件，基於JDBC，基於LDAP等）不知道JBoss。

Answer 2

在Java EE安全性默認情況下聲明。這意味着您只能通過稱爲Role的抽象概念來指定要保護的資源。

添加到JB Nizet，在JBoss的答案，具體登錄模塊（大致相當於Tomcat的領域實現）可以在這裏找到：http://docs.jboss.org/jbosssecurity/docs/6.0/security_guide/html/Login_Modules.html

值得注意的是未知的許多（因爲它似乎），Java EE 6的還支持標準化認證模塊。這些是基於文件的，基於JDBC的等，通常被認爲是Application Server/Container特定的。

這是通過所謂的JASPIC API（又名JASPI，又名JSR 196）來完成，例如參見：

• JBoss AS7: Enabling JASPI Authentication for Web Applications
• Implementing a custom authentication provider using JASPI
• Pluggable Authentication in the Glassfish Web Tier

不幸的是，採用JASPIC/JASPI/JSR 196似乎充其量不足。目前，人們似乎信任AS特定的領域，登錄模塊以及你有什麼更好的，或者只是沒有意識到替代方案。