Vous pouvez le faire de manière déclarative avec des contraintes de sécurité dans le descripteur de déploiement.
Essentiellement, vous dites « cet ensemble de ressources est accessible par les utilisateurs dans un ensemble de règles en utilisant un ensemble de méthodes HTTP », comme suit:
Ressources derrière les URL/sécurisé/* ne sont accessibles aux utilisateurs authentifiés dans le rôle 'admin'.
<web-app...>
<security-constraint>
<web-resource-collection>
<web-resource-name>secured</web-resource-name>
<description>Secured pages</description>
<url-pattern>/secured/*</url-pattern>
<http-method>POST</http-method>
<http-method>GET</http-method>
</web-resource-collection>
<auth-constraint>
<description>Administrative users</description>
<role-name>admin</role-name>
</auth-constraint>
</security-constraint>
</web-app>
Il nécessite une certaine configuration - domaines de sécurité, etc., la configuration de formulaire de connexion, mais cela signifie que la configuration de votre sécurité ne se fait pas un programme, il est plutôt dans un supporté outil et de manière abstraite, déclarative. Cela permet de garder votre code propre et ciblé.
Voici la partie pertinente du Sun Educational material for Java EE 5. C'est un sujet relativement complexe et potentiellement très important. Je vous suggère donc d'avoir une bonne lecture du contenu.
cela semble bon .. Thaks pour votre réponse rapide .. – Nave