在Borland應用服務器的基礎上，使用JAAS與J2EE Web容器內在的安全機制，并借助Oracle數據庫的用戶驗證，實現了Web應用中對用戶的驗證和授權。把用戶能訪問到的資源控制到頁面級，將開發階段需要考慮的安全問題轉移到部署階段，實現了應用邏輯與安全邏輯的徹底分離。實踐表明，使用JAAS可以提高整個系統的開發效率，而Web容器提供的驗證與授權可以很好地和數據庫安全域相結合。
關 鍵 詞 驗證; 授權; JAAS; J2EE Web容器; 安全

在大中型Web應用中，實現系統的安全性是系統架構師必須考慮的事。系統的安全性主要體現在兩部分：驗證和授權。驗證(Authentication)表示確定一個用戶就是他所聲稱的那個人；授權(Authorization)或訪問控制，表示已通過驗證的用戶只能訪問那些允許他訪問的資源。不同的用戶對不同的資源擁有不同的訪問權限，如何對眾多的用戶進行驗證和授權是構建系統的關鍵。在早期的Web應用中，程序員在每個頁面編寫檢查權限的代碼來實現對頁面的保護。如果權限發生變化，則需對應用程序級的代碼進行修改，整個系統的可維護性和代碼可重用性不高，開發效率較低。而利用JAVA驗證與授權服務(Java Authentication and Authorization Service，JAAS)提供的驗證授權機制和Web容器內在的安全機制，可以在部署階段來實現對用戶的授權，并能借助其他安全域(如數據庫)來實現對用戶的驗證。
1 JAAS提供的驗證和授權
JAAS是J2EE規范中定義的一種驗證授權框架。它提供的驗證機制是一種可插入式的，即當前應用能在保持已有驗證機制不變的情況下加入新的驗證方式，而不用更改應用程序級的代碼；系統管理員在配置文件中決定采用哪些驗證技術以及它們的驗證順序。因而非常適合企業在已經擁有一套驗證機制的情況下使用。
在JAAS框架之下，開發人員只需在應用程序層和登錄上下文(LoginContext)交互。LoginContext之下是一組動態配置的登錄模塊(LoginModule)對象，LoginModule是調用特定驗證機制的接口，對一個具體實現了LoginModuel接口的類，就是一種驗證方式。開發系統時可以根據需要使用J2EE1.4中包含的幾種LoginModule實現類(如JndiLoginModule、Krb5LoginModule、NTLoginModule、UnixLogin Module)，或編寫自己的LoginModule，或使用應用服務器提供的相關實現。
JAAS框架通過一個配置文件來指定要使用的驗證機制，并對驗證模塊進行封裝。開發人員無需為如何調用驗證模塊編寫任何代碼，系統會根據配置文件中定義的驗證機制采取相應的驗證方式。如果驗證成功，就會返回一個包含驗證信息的主體(Subject)，這個驗證信息將會用于授權過程。