JavaコミュニティプロセスがJSR 375の詳細を発表した。JSR 375は、クラウド環境のセキュリティを実装する改善を含むJava EE セキュリティAPIを再設計したものだ。
その改善は、特に次の分野をターゲットにしている。
- ユーザ管理: 標準ユーザサービス。ユーザの追加、削除、更新、グループ化等のユーザ管理を運用するアプリケーションを可能にする。ユーザサービスは、LDAP、データソース、ファイル、埋め込み等のユーザソースからユーザを操作できる。そのため、デプロイした環境毎に変更可能で、開発、QA、生産のための様々なユーザソースで利用できる。
- パスワードエイリアス: 安全なパスワード参照と保管の標準サポート。パスワードリポジトリは、信頼できるアーカイブであり、内臓式で、アプリケーションによって展開される。
- ロールマッピング: 標準ロールサービス。ユーザとグループロールの許可、取り消し、問い合わせ等のロールマッピングの操作を実行するアプリケーションを利用できる。ロールサービスは、ロールマッパーからのマッピングを操作できる。ロールマッパーは、LDAP、データソース、ファイル等のリソースからのマッピングを持つ。ユーザ管理と同様に、ソースは環境により異なる。
- 認証: 認証には3つの改善点がある。
- アプリケーションがユーザとロールサービスを特定できる。
- 1つのウェブアプリケーションの中で、サーブレット毎に別々の認証方法を構築できる。
HttpServletRequest.authenticate()の改善により、非同期で呼び出せる。
- 権限: 新しい標準メソッドインターセプタのアノテーション。アプリケーションベースのルールが、メソッドのアクセス決定に影響を与える。
JSRによると、Servlet 4.0 の仕様 (JSR 369) は、サーブレット毎のログイン構成を反映するために、見直しが必要かもしれない。
OracleのシニアメンバテクニカルスタッフであるAlex Kosowski氏は、現在、主要メンバであり、JSR唯一のエキスパートだが、エキスパートの指名を受け付けている。
OracleのAquariumブログで、GlassFishとJava EEのプロダクトマネージャであるDavid Delabasse氏が、JSR 375 はJava EE 8 コミュニティ調査のフィードバックから始まったと述べた。セキュリティ簡単化の投票数は、JSR 367のJSONB - JSONのバインディングのためのJava API - の次だった。
JSR 375は、現在、レビュー期間であり、Java EE セキュリティ API メーリングリストにフィードバックを投稿できる。JCPの手続きによると、JSRを承認する投票の前に、エキスパートグループがコメントをレビューする。