cgraf:
Posso estar falando besteira, mas a meu ver não faz muito sentido tem roles por usuário no banco quando se fala de uma aplicação web.
Numa aplicação desktop é interessante porque o client tem acesso direto via jdbc/odbc ao server. Então com um usuário e senha comum, pode-se logar por um “pgadmin” da via e executar querys sem permissão.
Numa aplicação web o usuário não tem acesso ao servidor de banco de dados. Somente o containter, então não corre o mesmo risco da aplicação desktop.
Além do mais, numa aplicação web normalmente você usa pool de conexões, como o c3p0. Os pools se conectam com o mesmo usuário ao banco.
Você poderia usar JAAS ou desenvolver o seu próprio controle de páginas usando um filter por exemplo.
Espero ter contribuído,
sds
E ae cgraf. Com certeza você contribuiu. É exatamente nesse ponto que quero chegar, realmente está parecendo não ser muito viável fazer controle de acessos individuais, talvez seja mais interessante trabalhar com regras mesmo, ADMIN, OPERADOR, etc. Eu dei uma olhada nessas duas maneiras que você comentou, a primeira delas JAAS me chamou muito atenção, só que pelo que entendi ela depende do JBoss, não é? A segunda também me parece interessante, só que só encontro exemplos e materiais um pouco antigo.
O que eu preciso é algo bem simples:
- Usuário Administrador tem acesso as páginas x,y e z;
- Usuário Operador tem acesso a página Z;
Ainda estou pegando alguns macetes, mas pelo que parece utiliza-se também o faces-config.xml para implementar esse controle, certo?
Estou utilizando as versões mais atuais de Spring, Hibernate, JSF, etc. Ele não tem o faces-config.xml, coloco então no web.xml?
