Java EEベースのWebアプリケーションサーバーのJAASセキュリティは依存していますか？

Question

私はJava EE開発の初心者ですが、うまくいきます。 私のアプリケーションのセキュリティ部分とちょっと混乱しています。

Java EE WebアプリケーションでJAASセキュリティを実装する方法について、いくつかの記事を読んでいます。 http://uaihebert.com/user-login-validation-with-jaas-and-jsf/

例は素晴らしいですし、すべてが、それはイムは、JBossを使用していないと私はするつもりはないよ、JBossサーバを設定します。これは私が理解&を読んだもので、すべての彼の他は不明でした。 JAASを使用する場合、私が実行している（開発中の）ローカルWebサーバーを構成する必要がありますか？おそらくJAASについて私が実際に理解していないことがいくつかありますか？ もし私がその例に従ってJBossを使用し、それをそのまま実行するのであれば。私はWebアプリケーションをwarファイルとしてデプロイし、warファイルをアップロードしてtomcatサーバー上で言うと、それはまだ保護されますか？

ご協力いただきありがとうございます。 ありがとう！

Answer 1

JAEセキュリティはJava EEには存在しません。 JAASは、クラスレベルでリソースを保護するためのJava SEフレームワークです。これを使用して、ダウンロードしたコード（アプレットなど）がコンピュータで実行できるコードを制限します。

Java EEでは状況が逆転します。単一のユーザー（コンピュータ上のユーザー）には未知のコードはダウンロードされませんが、未知のユーザーはコードにログインします（サーバー上で実行されます）。

「アイデンティティストア」と呼ばれるもの（ldapのようなユーザーとロールを格納するもの）のサーバー固有の実装に、少数のサーバーがJAASという用語を使用しているため、混乱が生じます。

しかし：すべて、彼らは気になぜあなたが唯一の疑問、このような別の方法でそれを行うJAASを使用すると主張する

• のみJAASの恥ずかしい小さな一部が使用されます（ログインモジュールのようないくつかの種類）
• サーバー
• すべてのサーバーがJAASを使っているわけではありません。 Tomcat、Jetty、Resin、Liberty、WebSphereはまったく使用しません。