Java EE的安全机制
1. 安全相关的概念
识别(Identification)是在系统中认出一个实体的过程。
认证(Authentication)是在系统中验证一个实体的身份的过程。
授权(Authorizatioin)也称为访问控制,在系统中控制一个实体对资源的访问。
Realm是在服务器中定义的安全策略域。一个Realm定义用户、用户组及其之间的关系。
Role是在应用中定义的访问某些资源的许可的统称。
Principal是通过系统认证和授权的一个实体,是用户在系统中的代理。
Credential拥有一组安全相关的属性,用于认证一个具体的Principal具有某些Role(可以访问对应的资源)。
2.Java SE提供的安全机制(略)
Java Authentication and Authorization Service(JAAS)
JavaGeneric Security Services (Java GSS-API)
JavaCryptography Extension (JCE)
JavaSecure Sockets Extension (JSSE)
SimpleAuthentication and Security Layer (SASL)
3. Java EE提供的安全机制
Java EE的安全机制基于Java SE提供的安全机制。在此基础上,Java EE容器通过如下两种方式负责应用的安全:
- 声明式安全
- 代码式安全
往往是对声明式安全的补充,在代码中调用javax.ejb.EJBContext接口的方法或javax.servlet.http.HttpServletRequest接口的方法实现。