服务器跟踪认证信息

下面的安全标识(如用户和组)在运行时环境中映射的角色是环境指定的而非应用指定的,理想的是:

  1. 使登录机制和策略是 web 应用部署到的环境属性。
  2. 在同一个容器部署的所有应用能使用相同的认证信息来表示principal,且
  3. 需要重新认证用户仅当已经越过了安全策略域边界。

因此,servlet 容器需要在容器级别(而不是在 web 应用级别)跟踪认证信息。这允许在一个 web 应用已经通过认证的用户可以访问容器管理的以同样的安全标识许可的其他资源。