JAASとは，Java Authentication and Authorization Serviceの省略系であり，日本語でいうとJava認証承認サービスということになる．ひとことでいうとJ2EEにおけるセキュリティ機能の提供がこれであるが，J2EEのセキュリティ機能は世間一般でいうところのセキュリティの定義よりももっと狭い領域しかカバーしておらず，どちらかというと「ロールをベースとしたユーザ管理機能をプラグイン可能にした仕組み」ということになる．

さておき，自分は実はJAASについてはこれまであまり良く理解しておらず，それゆえ「Java認証承認サービス」でいうところのAuthenticationとAuthorizationの違いというのがいまいちよく分かっていなかった．

前置きが長くなったが，しかし今日それもすっきりと解消した．

JBoss A Developer's Notebook 61ページ目より要約

• authentication…ユーザをパスワードで認証（ベリファイ、特定）すること
• authorization…そのユーザがリクエストされたリソースへのアクセス権限を持っているか確認すること（それにロールが使われる）

なんだ，簡単じゃんｗ