问Java EE安全性-使用哪种方法？

EN

Spring Security。尽管它被标记为Spring，you might find it useful for web applications；但请注意，您不需要编写Spring应用程序来使用Spring Security。

如果您希望坚持使用JAAS，我建议您在尝试编写自己的登录模块之前，先使用容器的一个登录模块。请注意，如果容器提供的模块不满足您的需求，您可能最终会编写一个。而且，有一个很好的book on JAAS可以帮助您详细了解它。

此外，看看Servlet spec 3.0，看看如何使用注释在servlet本身中声明角色(@DeclareRoles，它在servlet规范2.5中提供)，然后定义哪些角色可以访问哪个HTTP方法(使用@RolesAllowed)。您还可以使用@DenyAll和@PermitAll等注释来允许或禁止所有用户访问。@TransportProtected将确保通过HTTPS访问HTTP方法。所有需要做的就是将源代码中的这些角色映射到JAAS领域中的实际角色；这通常使用特定于容器的描述符文件来完成。

附录

由于您使用的是JSP，而不是Facelet或任何其他表示层技术，因此您可能会对JSP tags offered by Spring Security感兴趣。在一个庞大的web.xml文件中维护所有授权元数据要干净得多。

就JPA而言，对它们的底层访问通常是在servlet或EJB中强制执行的。当然，您可以基于您的需要构建更多的程序化安全性-使用实体侦听器将在此过程中提供帮助，因为您将能够拦截加载、更新和持久化操作(如果您很特殊，但在大多数情况下，在执行业务逻辑之前构建安全性通常就足够了)。

哦，看看JBoss Seam (和Seam安全性)，因为它是一个构建在Java上的完整的应用程序开发框架。

我最近使用JAAS开发了一个Java应用程序。这是相当新的，你可以检查它的home page at Oracle。

它与角色、身份验证等一起工作。

你可以在JBoss和Glassfish中使用它，可能在其他地方也是如此。

比JAAS更新的是Spring Security框架。它支持JSR-350 (EJB3)，因此可以在Java中很好地工作。