ログインハンドラーを実装するタスクが与えられました。ハンドラーがキャプチャする唯一の詳細は、ユーザー名とパスワードです。最初は、サーブレットに投稿するJSPを使用する予定でした。サーブレットがデータベースルックアップを実行し、ユーザー資格情報も検証した場所。ログインに成功するとリダイレクトされますが、失敗するとjspに戻り、適切なエラーメッセージが表示されます。
しかし、いくつかの調査を行ったところ、j_security_checkとJAASを発見し、どちらを使用するか、または使用するかどうかがまったくわかりません。
どちらからもどのようなメリットがあり、どちらが私のタスクに最も適していますか??
コンテナが提供するものを使用し、これを行うためにデータベースルックアップを実装しないでください。コンテナが誰がログインしているかを知っている場合、ロールを使用して特定のページへのアクセスを制限できます。認証にはさまざまな種類もあります。
JAASを使用すると、パスワードを確認する別の方法(Active Directoryなど)を柔軟に使用できるようになります。また、これを使用してシングルサインオンを実装できます。
あなたが本当に 本当に敏感なことをしているのでない限り、もっと簡単な方法で十分でしょう。最も重要な(そして単純な)ビットを覚えておいてください。実際のパスワードではなく、データベースにパスワードハッシュを保持してください。
JAAS は負荷を軽減し、ユーザー (またはクライアント) が別のモジュールをドロップするだけで認証方法を変更できるようにします。たとえば、DB 認証から LDAP、Kerberos、NT ドメインまで、要点はわかります。
Spring Securityフレームワークを確認することもできます。