使用在數據庫中定義的角色的Java EE授權，Glassfish

Question

我想在我的Java EE應用程序中擁有授權。

在線描述如何定義角色sun-web.xml。不過，我希望將所有角色和組定義在數據庫表中。

這意味着，當我訪問我的應用程序的方法時，需要攔截請求以查看用戶是否被允許進入角色。

我需要

• 創建某種攔截器類的爲用戶進行呼叫到我的Web服務方法
• 創建從摸出組和角色數據的自定義登錄模塊，檢查AUTH數據庫當用戶首次登錄時

任何指針都會非常有幫助。

Answer 1

首先：我強烈建議使用標準的授權機制。

但對於您的使用情況，這些標準的機制將無法正常工作，看到這個帖子：dynamic roles on a Java EE server

角色有在web.xml或sun-web.xml中聲明。

框架

接下來的事情我會考慮的框架，可以幫助你這一點。該鏈接將爲您提供兩個建議的框架。

建立自己的

如果你不需要它用於生產目的，我建議如下：

• 使用過濾器來檢查授權和認證：過濾相當容易使用非常強大並且經常用於安全目的：有關過濾器的更多信息，請參閱http://docs.oracle.com/javaee/6/tutorial/doc/bnagb.html。
• 對於登錄，您可以堅持使用標準的基於表單的登錄。