学习笔记——JAAS

最新推荐文章于 2024-08-27 08:07:10 发布
最新推荐文章于 2024-08-27 08:07:10 发布
阅读量958 收藏
点赞数
分类专栏: JAVA 文章标签: encoding 应用服务器 authorization authentication security java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Crystalbruce/article/details/7385401
版权

Java Authentication Authorization Service(JAAS, Java认证和授权服务)

JAAS作用:解决Java EE应用的安全问题。

JAAS支持两种方式的安全性控制:声明式安全控制(declarative security),编程式安全控制(programmatic security)。

开发者可以使用XML部署表述文件或Annotation来声明安全控制,当声明式安全控制不足时,可采用编程式。

 

JAAS相关的概念

用户:通常由用户名,密码信息提供。

用户组:用户的集合。应用程序使用ACL(Access Control List)管理用户和用户组的权限。

安全域:为Web或应用程序提供的安全策略,其是包括用户、用户组的一个集合。应用服务器中最长见的安全域是:RDBMS安全域(各种信息都存储在数据库中,适合大型应用使用)、文件安全域(信息存储在文件中,适用于小型应用,用户小于1000)。

角色:一个角色一个抽象的名字,用于在应用中访问指定的资源的授权。

 

JAAS的工作流程

1:初始化请求

2:初始化认证

3:URL授权

4:完成原来的请求

5:调用EJB的方法

 

Web中的使用

声明式安全控制

使用方法:

为整个应用声明安全性角色;

指定Web中受保护的资源,并指定授权访问被保护资源的角色;

指定登入方式。

 

可在web.xml中声明,

也可以用Java EE提供了javax.annotation.security包。

e.g.

web.xml

<?xml version="1.0" encoding="GBK"?>
<web-app xmlns="http://java.sun.com/xml/ns/javaee"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://java.sun.com/xml/ns/javaee
                      http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" version="3.0">
	
		<!-- 声明安全性角色 -->
		<security-role>
			<role-name>rolename</role-name>
		</security-role>
		
		<security-constraint>
			<!-- 指定收保护的Web资源集 -->
			<web-resource-collection>
				<web-resource-name>resource</web-resource-name>	
				<url-pattern>/*</url-pattern>
				<url-pattern>/context/*</url-pattern>
				
				<!-- http-method子元素用于指定只保护指定请求方式的资源 -->
				<!--
				<http-method>GET || POST</http-method>
				-->
			</web-resource-collection>
		
			<auth-constraint>
				<!-- 访问受保护资源所需的角色 -->
				<role-name>rolename</role-name>
			</auth-constraint>
		</security-constraint>
		
		<login-config>
			<!-- 指定登录方式 BASIC:使用对话框来登录,FORM使用自定义的表单页登录 -->
			<auth-method>BASIC</auth-method>
			<realm-name>myRealm</realm-name>
			
			<!--
			<auth-method>FORM</auth-method>
			<realm-name>myRealm</realm-name>
			<form-login-config>
				<form-login-page>/login.jsp</form-login-page>
				<form-error-page>/login_fail.jsp</form-error-page>
			</form-login-config>
			-->
		</login-config>
		
</web-app>

之后该为这些角色映射到服务器的用户组上.

并且配置和管理服务器上的用户和用户组,WebLogic可以在“安全领域”中配置,JBoss需在%JBOSS_HOME%/server/default/conf/login-config.xml文件中进行管理。

 

应用服务器特定的配置文件示例:

/WEB-INF/jboss-web.xml

 

<?xml version="1.0" encoding="GBK"?>
<!DOCTYPE jboss-web PUBLIC
	"-//JBoss//DTD Web Application 5.0//EN"
	"http://www.jboss.org/j2ee/dtd/jboss-web_5_0.dtd">
<jboss-web>
	<!-- 指定该Web应用使用哪个安全域(java:/jaas/是特定前缀) -->
	<security-domain>java:/jaas/rolename</security-domain>
	<context-root>basic</context-root>
</jboss-web>


/WEB-INF/weblogic.xml

 

<?xml version="1.0" encoding="GBK"?>
<weblogic-web-app>
	<!-- 将安全角色映射到服务器上的用户组 -->
	<security-role-assignment>
		<role-name>rolename</role-name>
		<principal-name>userGroup</principal-name>
	</security-role-assignment>
</weblogic-web-app


 

编程式安全控制

Web应用的编程式安全控制是通过HttpServletRequest实现的,主要使用该接口的如下3个方法:

String getRemoteUser():返回这个请求的登录用户的用户名,若未登录,则返回null;

Principal getUserPrincipal():返回登录后的身份主体,该对象包含当前用户的用户名;

bealoon isUserInRole(String role):判断用户是否为指定角色。

 

EJB中使用EJBContext来实现,该接口提供如下2个方法:

Principal getUserPrincipal():返回登录后的身份主体,该对象包含当前用户的用户名;

bealoon isUserInRole(String role):判断用户是否为指定角色

Crystalbruce
关注
专栏目录
JAVA 安全三部曲之一 JAAS编程指南(前篇)
hk2000c的专栏
03-23 1万+
 1          JAAS  Java Authentication Authorization Service(JAASJava验证和授权API)提供了灵活和可伸缩的机制来保证客户端或服务器端的Java程序。Java早期的安全框架强调的是通过验证代码的来源和作者,保护用户避免受到下载下来的代码的攻击。JAAS强调的是通过验证谁在运行代码以及他/她的权限来保护系统面受用户的攻击
Activemq配置——Jaas方式配置用户登录验证
jaylong35的专栏
11-14 6971
配置方式: 一、要配置系统环境变量:配置Jaas加载的配置文件路径。 linux下使用 export ACTIVEMQ_OPTS=-Djava.security.auth.login.config= 或是在profile文件末尾添加上这样一个导出 windows下 SET ACTIVEMQ_OPTS=%ACTIVEMQ_OPTS% -Djava.security
关于JAAS的应用
09-23 1195
JavaTM Authentication and Authorization Service (JAAS)在JavaTM 2 SDK Standard Edition (J2SDK)1.3版本中是一个可选的包,而现在JAAS已经整合到J2SDK1.4中.有两种情况使用JAAS:1.用来鉴定用户,能够可靠并安全的确定谁在执行java代码,而不管执行的是一个应用程序或小程序或bean或java se
JAAS学习笔记
03-22
NULL 博文链接:https://samjavaeye.iteye.com/blog/900681
学习笔记——JAAS与SSL
Crystalbruce的专栏
03-23 750
Security Socket Layer(SSL)技术是一种在传输层实现的安全技术,其使用public key encryption标准加密方式。 SSL作用:保证在非可靠网络上所连接的主机之间的通信安全。   RSA RSA公钥加密算法是1977年由Ron Rivest、Adi Shamirh和LenAdleman在(美国麻省理工学院)开发的。RSA取名来自开发他们三者的名字。 RS
JAAS.rar_jaas
09-24
Java Authentication and Authorization Service (JAAS) 是Java平台中用于安全认证和授权的核心组件。它为开发者提供了一种标准的方式来实现用户身份验证和权限控制,从而增强了应用的安全性。"JAAS.rar_jaas"这个...
ActiveMQ学习笔记(四)——自定义身份认证(登录认证集成)
SpbDev的专栏
06-03 848
经典版和Artemis都有自己的用户系统和默认的登录认证逻辑,但是当需要和业务系统集成,共享同一套用户/角色时,就需要自定义身份认证了。这里简单记录一下实现思路。 一、ActiveMQ经典版 1、自定义身份认证插件 新建maven工程,添加依赖 <dependency> <groupId>org.apache.activemq</groupId> <artifactId>activemq-broker</artifactId> &lt
JBOSS7学习笔记
04-22
【JBoss7学习笔记】 JBoss Application Server,简称JBoss AS,是Red Hat公司开发的一款开源Java EE应用服务器,而JBoss7则是其一个重要的版本,带来了许多性能优化和架构改进。这篇学习笔记将深入探讨JBoss7的核心...
jaas 入门
JLife 雅致 博大 精深
03-04 214
本例是认证的实现,JAAS定义了可插拔的认证机制,使认证逻辑独立开来,可通过修改配置文件切换认证模块。 官方参考:http://java.sun.com/products/archive/jaas/http://java.sun.com/j2se/1.4.2/docs/guide/security/jaas/JAASRefGuide.htmlsecurity.pdf   一、配置文件及设置 ...
JAAS 身份验证技术入门
08-01
JAAS 身份验证技术入门作者 马林
JAAS认证与授权教程
10-19
JAAS认证与授权教程,包含本教程的源代码
JAAS简介及实例
03-01
原代码 博文链接:https://callan.iteye.com/blog/158392
JAAS使用
zc0565的博客
11-05 4738
简介 Java 验证和授权服务(Java Authentication Authorization Service,简称 JAAS)是 Java 在 JDK 1.4 引入的安全框架。JAAS 提供了一种灵活的、说明性机制,用于对用户进行身份验证和服务访问的授权。 JAAS 是一种可插拔的认证模块( Pluggable Authentication Module,PAM )的安全体系结构。这意味着可...
jaas入门例子
andilyliao的博客
06-12 72
超级简单的例子 有助于入门
开源项目 IJAAS 使用教程
最新发布
gitblog_00690的博客
08-27 404
开源项目 IJAAS 使用教程 ijaasMake IntelliJ as a Java server that does autocompletion for Vim.项目地址:https://gitcode.com/gh_mirrors/ij/ijaas 1. 项目的目录结构及介绍 ijaas/ ├── README.md ├── LICENSE ├── src/ │ ├── main/...
JAAS基础1
徐进
07-10 677
核心类和接口
JAAS介绍【转】
Ant Ren的专栏
04-13 2166
Java Authentication Authorization Service(JAASJava验证和授权API)提供了灵活和可伸缩的机制来保证客户端或服务器端的Java程序。Java早期的安全框架强调的是通过验证代码的来源和作者,保护用户避免受到下载下来的代码的攻击。JAAS强调的是通过验证谁在运行代码以及他/她的权限来保护系统面受用户的攻击。它让你能够将一些标准的安全机制,例如Solar
学习笔记——JAXP
Crystalbruce的专栏
03-31 4182
Java API for XML(JAXP)   作用:解析XML文档的一套Java API,其为DOM和SAX两种解析机制提供了支持。   缺陷:使用繁琐,代码量大,可读性低。 解决方法:使用dom4j或JDOM解析器。   JAXP本身没有提供任何的XML解析支持,所以JAXP依赖与XML解析器,但其本身不与任何XML解析器耦合,因此可轻松在各种XML解析器直接切换而无须修改源代
JAAS认证入门教程与实战
"这篇学习笔记主要介绍了JAASJava Authentication and Authorization Service)的入门实例,包括认证操作的实现流程和关键接口的使用。" 在Java平台中,JAASJava Authentication and Authorization Service)是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值