我正在开发一个 Java Servlets webapp,它将使用基于容器的安全性来验证用户身份。现在我的问题是,一个用户可以映射到多个安全角色吗?
例如在我的情况下-:
一个用户可以是一个
现在显然管理员将拥有比教师访问更多功能的权限。那么对于像 Tomcat 这样的容器来说,仅仅基于容器的安全性怎么可能呢?
我也没有使用 Spring Security 或 Apache Shiro 等任何框架。
【问题讨论】:
标签: jakarta-ee user-roles
简而言之 - 用户甚至更好的组 - 可以映射到许多安全角色。 最简单的方法是在 web.xml 中定义安全角色,如下所示:
<security-role>
<role-name>teacher</role-name>
</security-role>
....
然后在<security-constraint> 中使用它,您可以在其中指定哪个角色可以访问给定的一组资源。
最后,您需要将这些角色映射到用户,这是特定于服务器的。
您可以在保护 Web 应用程序章节的WebSphere Application Server V7.0 Security Guide 中找到有关安全角色和约束的一些基本信息。
我建议不要使用 Tomcat,而是使用 WebSphere Liberty 和带有 WebSphere Developer Tools 的 Eclipse。它具有用于编辑 web.xml 的漂亮图形界面,因此您将能够轻松定义这些角色和约束。它还具有服务器配置编辑器,您可以在其中使用用户和组配置基本注册表,并在角色和用户之间创建该映射。
如果您需要更多关于如何在 Liberty 中进行设置的信息,您可以查看WebSphere Liberty Profile Guide for Developers
【讨论】: