JaaS 可以用于 Rest 吗？

Posted 2023-03-08

【中文标题】JaaS 可以用于 Rest 吗？

【英文标题】：Can JaaS be used for Rest?

【发布时间】：2012-04-18 09:56:29

【问题描述】：

我没有根据这个问题找到任何东西。

可以使用 jaas 来保护我的休息服务吗？如果是，与基本/摘要身份验证 + ssl 相比有什么优势吗？我应该在基本/摘要身份验证上使用 jaas 来提供我的休息服务吗？

【参考方案1】：

是的，您可以使用 JAAS 来保护 REST（或任何其他类型）服务....只要您的 REST 容器提供挂钩 JAAS 登录模块的能力。

我知道和使用的大多数容器，尤其是 Tomcat 和 Jetty。

JAAS 与其说是关于如何格式化或提供凭据（表单登录、基本身份验证等），不如说是关于如何验证它们。您可能想要检查本地文件、查询数据库或 LDAP 服务器...

JAAS 不仅是身份验证，也是授权。通过身份验证阶段后，您提供给用户的角色和权限。所有实现 JAAS 的容器都将在 JAAS 模块和容器提供的授权方案之间提供无缝集成，例如 web.xml 为 servlet 提供的授权方案。

由于 JAAS 是一个标准并且现在是 JRE 的一部分，因此您会在网络上找到许多现成的模块和文档来帮助您在需要时构建自己的模块和文档。