JAAS微服务认证

Question

我正在尝试设计一个JAAS微服务，用于处理多个J2EE应用程序的用户身份验证。目前，我们有多个应用程序，它们针对我们的LDAP进行身份验证，并且具有独立的角色系统。现在，我不得不设计应用程序和身份验证后端之间的接口。

通过自定义LoginModule:设计了一个自定义登录模块，它使用来自LoginService的非安全EJB接口进行身份验证和授权，但我记得我读过这样的文章:登录模块不能注入EJB/ use。

这是正确的起点吗，还是我还有其他可能将JAAS安全性从我们的应用程序中重构出来？以前有人做过这样的事吗？

Answer 1

不久前，我一直对Java安全性感到好奇。我找到了一个很好的框架Picketlink。

尽管它需要相当高的门槛才能进入，但它比JAAS灵活得多，并且能够处理大多数典型的需求。