Java EE 6的組，用戶和角色四郎航班嗎的角色，用戶和權限

Question

我想在精神上映射的Java EE 組，用戶和角色的6個安全概念的Apache Shiro的概念角色，用戶和權限和我的理解是，他們是不兼容的。

通過Java EE 6 security tutorial似乎模型過於侷限閱讀：組是在每個服務器上，而不是每個應用程序，依據其真正留給我們的只有兩個靈活的概念來表達授權機制配置：用戶和角色，存在於簡單的1對N關係中。與此相反的角色，用戶和權限四郎的模式是很多更動態的，因爲它使一個在註釋的代碼進行硬編碼權限，並在運行時修改的東西到權限的角色映射改變或引入新的角色。我看不出按照Java EE 6模型，容器管理的授權是如何實現的。

我的理解是否正確？因爲這意味着用容器管理的授權不能真正走得太遠。

Answer 1

他們是不兼容的，我認爲在Java EE安全的設計者聽錯了作爲術語似乎是過就到角色。

從以往的經驗我知道，提供基於角色（建議在其文檔中）訪問控制正義事業的道路問題，當你想打開一個能力，其他組/角色。映射回角色（或組）的基於權限的訪問似乎最有效，因爲它在抽象級別重新映射而不是重新編碼/重新註釋。

我可以看到你是如何混淆了Java EE的安全模型。我建議仔細看看Shiro以及它如何模擬應用程序級別的安全性。萊斯Hazelwood的，四郎的創作者，寫了blog about RBAC，使一個很大的意義需要細粒度控制甚至下降到實例級別應用。