[Java lista] JAAS (vagy mi?)

István Viczián viczian.istvan at gmail.com
2008. Nov. 20., Cs, 14:46:04 CET


Ha már filter, akkor Acegi Security, mert már megint kerék
újrafeltalálás lesz. De csak magamat ismétlem, másik thread-ben már
volt ajánlva.

Viczi

2008/11/20 Verhás Péter <peter at verhas.com>:
> A servlet filter egy olyan osztály, amelyik minden egyes http hívásnál
> megkapja a vezérlést, csinál amit tennie kell, majd megy tovább a futás. (A
> 'minden egyes' nem a világ összes http hívására vonatkozik persze.)
>
> Egy ilyen filterben meg lehet nézni, hogy a kliens lett-e azonosítva (pl. a
> session erre kiválóan alkalmas) és ha nem akkor meg lehet kérni egy
> redirekttel, hogy ugyan már írja be a username-et meg a jelszavát. Amikor
> meg pont ez az http jön, akkor a filter rájön,hogy éppen most azonosítja
> magát, és jól leellenőrzi. Az ellenőrzéshez meg a tárol username-t meg
> jelszót veszi ahonnan akarja, pédául adatbázisból JDBC-n keresztül. Én éppen
> JCR-ből vettem az alkalmazásunkban.
>
> De nagyon sok minden mást is meg lehet tenni filterben.
>
> A JAAS esetében nem írsz filtert, hanem felkonfigurálod a szervert, hogy a
> konkrét alkalmazás esetében milyen authentikációs osztályokat kell meghívni
> a konténernek az authentikációhoz. Hogy ezek az osztályok milyenek (jó
> bonyolultak) azt elmondja a JAAS szabvány (meg a jaasbook.org könyv). Sokkal
> nagyobb meló, nehezebb utána telepíteni is, viszont sokkal rugalmasabban
> használható alkalmazásszerverek esetében. Könnyen cserélhető például SSO
> bejelentkezésre kész pluginokkal, míg a filter erre nincs felkészülve (ezért
> is bonyolultabb a JAAS, mert erősen általános).
>
> Péter
>
> Ámon Tamás wrote:
>
> Verhás Péter írta:
>
>
> A válasz: igen.
>
> Javaslom a
>
> http://www.jaasbook.com/
>
> oldalon található ingyen letölthető könyvet, amiben ugyan maradtak némi
> hibák, és lehet, hogy nem véletlenül nem adták ki (minőség, didaktika)
> de még mindig könnyebb volt belőle megérteni az authentikációt, mint
> csak a szabványból.
>
> Le is implementáltuk, majd elraktuk a projektet 4 hónapra, és amikor
> három napba telt egy új installra bekonfigurálni az elfelejtett JAAS
> authentikációt, akkor három óra alatt kicseréltem egy servlet filterre.
>
>
>
>
> Nekem most kezd összeborulni az egész dolog. Én annyit szeretnék, hogy
> az alkalmazás elején belép a user, én pedig (vagyis a program) ez
> alapján jeleníti meg a menüket stb. Ezenkívűl bizonyos adatbázis
> műveleteknél meg akarom adni, hogy ki is csinálta és ezt az autentikáció
> alapján csinálnám. Ahogy a php-ból kinőtt fejemmel elképzelem: csinálok
> egy users táblát ebben tárolom az id-t, username-et, és a jelszót és
> belépéskor ezeket ellenörzöm, majd beteszem egy session-be (Vagyis a
> SessionBean1-be gondolom).
>
> Szeretném ezt az egész project-et java-ban megvalósítani, mert szeretném
> megtanulni ezt az egészet.
>
> Mi ez a servlet filter?
>
>
>
> _______________________________________________
> Javalist mailing list
> Javalist at javagrund.hu
> http://javagrund.hu/mailman/listinfo/javalist
>
>


További információk a(z) Javalist levelezőlistáról