其次,您可能正在寻找一个处理安全性的Java框架。例如,这可以是Spring Security。 Spring Security将自己定位在您的服务前面的过滤器链中。如果请求(例如使用BASIC_AUTH)被允许通过,则会通过,否则不会。 Spring Security可以配置为以许多方式查找用户,包括数据库,您自己的代码,LDAP(和Active Directory)。 第二个问题。 Spring Security很好地处理角色。我总是让我的Intranet应用程序依赖于我的应用程序通过LDAP从AD获取的角色。很容易控制用户需要访问功能的角色。就像这样: