Tomcat提供JAAS?什么是JAAS?

从《轻量级J2EE企业应用实践》里读到一句话：Tomcat不仅提供了Web容器的基本功能，还支持JAAS和JNDI绑定等。

困惑：那么，何为JAAS???

解释1，来自百度

Java Authentication Authorization Service（JAAS，Java验证和授权API）提供了灵活和可伸缩的机制来保证客户端或服务器端的Java程序。Java早期的安全框架强调的是通过验证代码的来源和作者，保护用户避免受到下载下来的代码的攻击。JAAS强调的是通过验证谁在运行代码以及他／她的权限来保护系统面受用户的攻击。它让你能够将一些标准的安全机制，例如Solaris NIS（网络信息服务）、Windows NT、LDAP（轻量目录存取协议），Kerberos等通过一种通用的，可配置的方式集成到系统中。

解释2，来自Oracle

Java security technology includes a large set of APIs, tools, and implementations of commonly used security algorithms, mechanisms, and protocols. The Java security APIs span a wide range of areas, including cryptography, public key infrastructure, secure communication, authentication, and access control. Java security technology provides the developer with a comprehensive security framework for writing applications, and also provides the user or administrator with a set of tools to securely manage applications.

解释的啥呀？

不过最终从百度文库找到一个JAAS.pdf，貌似不错，用登录认证来阐述了JAAS的认证过程。