JAAS for human beings

其他用户在上面提供了一些非常有用的链接，因此我不会打扰这些链接。我在用于Web应用程序的JAAS中进行了类似的研究，并且遇到了一个“障碍”，直到我最终意识到JAAS是一种解决Java世界中Web应用程序不同的“层”上的安全性的框架。它是为解决Java SE（而非Java EE）中的安全性问题而构建的。

JAAS是一个安全框架，用于在比Web应用程序低得多的级别上保护事物。这些事情的一些示例是JVM级别上可用的代码和资源，因此所有这些功能都可以在JVM级别上设置策略文件。

但是，由于Java EE是在Java SE之上构建的，因此JAAS中的一些模块已在Java EE安全性中重用，例如LoginModules和Callbacks。

请注意，除了Java EE安全性之外，还有Spring安全性（以前称为Acegi），类似于本机Java EE安全性，它解决了保护Web应用程序问题的更高层次。它是一个单独的安全性实现，尽管在许多方面具有相似的行为，但它不是建立在标准Java EE安全性之上的。

总而言之，除非你希望保护Java SE级别的资源（类，系统资源），否则除了使用公共类和接口之外，我看不到JAAS的任何实际用途。仅专注于使用Spring Security或普通的Java EE安全性，它们都解决了许多常见的Web应用程序安全性问题。