Oi pessoal … o assunto que vou levantar agora é um tanto polêmico … vi que alguns tópicos já falaram sobre o assunto … mas nada que fosse no âmago da questão.
Estou estudando para a certificação SCWCD, mias especificamente o capitulo sobre segurança. Lá eu vi como controlar os usuários através do modo declarativo, tem a autenticaçao do FORM, BASIC, CLIENT-CERT…etc… utilizar os recursos de https de forma extremanete fácil de se fazer. Definir os privilégios de cada grupo de usuários de forma declarativa, a partir do web.xml realmente, na minha opinião, é sensacional ( essse recurso também é usado no ASP.NET).
Mas, uma dúvida me surgiu… no livro explica como faz para controlar tudo isso a nivel de aplicação, mas ninguem explicou lá como eu vou fazer para que esse controle de usuario que eu programei no web.xml seja buscado em um banco de dados… Comentou algo sobre LDAP, mas fui procurar na internet e esta não foi muito esclarecedora, vi também um lugar onde definia-se os nomes de usuario e senha em um arquivo de propriedades ( sem comentários ).
Vi também algumas pessoas que são contra esse estilo de controle de usuários. Eu particularmente acho perfeito, mas talvez seja fruto da minha pouca experiência com essa técnica.
Resumindo:
1º Como faço para que o meu controle declarativo acesse uma base de dados para comparar nomes e senhas?
2º Controle declarativo realmente é usado pelas empresas? É bom? Se for ruim, porquê ?
3º Existe outra forma melhor e/ou mais utilizada para o controle de usuários? ( não vale consulta na banco com preparestatment rsrsrs e autenticar com sesssion )
4º Já ouvi falar de uma API Login no JEE, alguém sabe algo sobre?
Gente, sei que são muitas perguntas, mas o assunto realmente é complicado …
MUITO OBRIGADO 
