Authorization JavaEE6组、用户和角色-vs-Shiro'；的角色、用户和权限

我试图将Java EE 6的组、用户和角色的安全概念映射到Java EE 6的角色、用户和权限的概念，我的理解是它们是不兼容的

通读全文，该模型似乎限制太多：组是在每台服务器上配置的，而不是在每个应用程序上配置的，这实际上让我们只有两个灵活的概念来表达授权机制：用户和角色，存在于简单的1对N关系中。与Shiro的角色模式相比，用户和权限更具动态性，因为它可以在注释代码中硬编码权限，并在运行时随着情况的变化或新角色的引入修改角色到权限的映射。根据JavaEE6模型，我看不出如何使用容器管理的授权实现同样的功能

---

我的理解正确吗？因为这意味着容器管理的授权不能走得太远。

它们不兼容，我认为Java EE安全性的设计者弄错了，因为角色方面的术语似乎不太合适

根据经验，我知道基于角色（在他们的文档中建议）提供访问控制只会在您希望向其他组/角色开放功能时导致问题。映射回角色（或组）的基于权限的访问似乎效果最好，因为它是抽象级别的重新映射，而不是重新编码/重新注释

我可以看出您对JavaEE安全模型的困惑。我建议仔细看看Shiro以及它是如何为应用程序级安全性建模的。Shiro的创建者Les Hazelwood写了一篇文章，这篇文章对于需要细粒度控制的应用程序非常有意义，甚至可以应用到实例级别