Пишу свое первое корпоративное приложение. Нужно разработать механизм, определяющий к каким EJB и их методам будут иметь доступ группы пользователей (роли). Стандартная J2EE Security Configuration мне не понравилась: эта информация храниться в дескрипторах, а хотелось бы, чтоб она хранилась в базе.
Насколько я знаю эту проблему можно решить с помощью JAAS, а точнее JBoss Security Extension Architecture. Хотелось бы услышать насколько это реально? Есть ли альтернативные решения? Вобщем куда смотреть?
P.S. В доках по jBoss сказано что имена ролей все равно храняться в ejb-jar.xml.
Есть еще такое понятие как custom security proxy. На них можно в принципе построить свою систему безопасности. Стоит ли?