我目前正在开发基于JavaEE7、PostgreSQL和应用服务器GlassFish4的Web应用程序。我需要实现基于表单的身份验证，并确保某些URL的安全:用户和角色/组(不管它们叫什么)存储在数据库中。我希望我的应用程序尽可能“标准”(即我目前使用的是JSF和JPA，而不是其他框架，如spring、struts...)经过一番研究，我发现JavaEE提供了一种标准的身份验证机制，称为JASPIC。因此，我将研究重点放在JASPIC上，并且阅读了多篇StackoverflowQ/A和ArjanTijms撰写的那些文章(如果没有他的回答或评论，几乎不可能找到与JavaEE相关的Stac

我目前正在使用OracleADF(一种端到端的JavaEE框架)来构建我的Web应用程序，并使用GlassFish3.1作为应用程序服务器。后者支持JAAS(在其管理控制台内声明)。因此，我创建了一个安全领域并将它们映射到配置文件中声明的角色，并使用JAAS来实现授权和身份验证安全功能。一切都很好，直到现在!过去几周我一直在研究JavaEE安全性。我发现，如果您坚持“基本”安全性，JAAS就足够好了。此外，JAAS(作为Java安全框架的一部分)似乎仅适用于JavaSE(但由于JavaEE是基于JavaSE构建的，因此它的一些模块正在被重用，例如LoginMethod和Callback