Java服务器代码/ Web服务器中的基本/摘要身份验证实现

Question

我们需要支持Java Web项目中的基本身份验证和稍后的摘要身份验证。 我的怀疑是

• 是否基本/摘要身份验证是Web服务器中的配置 （Tomcat，JBoss等）。我们的用户/密码位于SQL数据库中，我们 通过DataServices获取这些。在这种情况下，我如何配置 Web服务器使用DataServices进行身份验证？
• 我是否需要在基本/摘要代码中明确处理 验证？就像我会收到身份验证请求 servlet并将连接到DataServices进行身份验证？

Answer 1

servlet规范涵盖了基本和摘要身份验证。阅读spec或本教程知道它是如何工作的。

不过，

在其中存储凭据以及检查它们的判断是由每个容器的自由裁量权。Tomcat支持各种领域实现（基于文件，jdbc基于LDAP的等等）不知道JBoss。

Answer 2

在Java EE安全中是默认的声明性。这意味着您只需通过名为Role的抽象概念来保护您想要保护的资源。

添加到jb nizet的答案，jboss作为特定的登录模块（大致相当于tomcat的领域实现）可以在这里找到：

许多（如似乎）显着未知，Java EE 6也支持标准化身份验证模块。这些是基于文件的，基于JDBC的等等，通常被认为是特定于应用程序服务器/容器。

这是通过所谓的 jaspic API（Aka Jaspi，Aka JSR 196） ，参见例如：

• jboss as7：为web应用程序启用jaspi身份验证
• 使用jaspi 实现自定义身份验证提供程序
• glassfish web tier中的可插拔身份验证

不幸的是，jaspic / jaspi / jsr 196的采用似乎乏味。目前，人们似乎相信自己的特定领域，登录模块以及你更好的东西，或者只是不知道替代方案。