【Java安全技术探索之路系列:Java可扩展安全架构】之十六:JAAS(三):JAAS编程模型

最新推荐文章于 2021-03-10 21:19:10 发布
最新推荐文章于 2021-03-10 21:19:10 发布
阅读量1.6k 收藏
点赞数
分类专栏: 安全技术 - 移动安全 文章标签: jaas 编程 架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AllenWells/article/details/46517897
版权

作者:郭嘉
邮箱:allenwells@163.com
博客:http://blog.csdn.net/allenwells
github:https://github.com/AllenWell

【Java安全技术探索之路系列:Java可扩展安全架构】章节目录

【Java安全技术探索之路系列:Java可扩展安全架构】之一:Java可扩展安全架构开篇
【Java安全技术探索之路系列:Java可扩展安全架构】之二:JCA(一):JCA架构介绍
【Java安全技术探索之路系列:Java可扩展安全架构】之三:JCA(二):JCA类和接口
【Java安全技术探索之路系列:Java可扩展安全架构】之四:JCA(三):JCA编程模型
【Java安全技术探索之路系列:Java可扩展安全架构】之五:JCE(一):JCE架构介绍
【Java安全技术探索之路系列:Java可扩展安全架构】之六:JCE(二):JCE类和接口
【Java安全技术探索之路系列:Java可扩展安全架构】之七:JCE(三):JCE编程模型
【Java安全技术探索之路系列:Java可扩展安全架构】之八:JCP(一):JCP架构介绍
【Java安全技术探索之路系列:Java可扩展安全架构】之九:JCP(二):JCP类和接口
【Java安全技术探索之路系列:Java可扩展安全架构】之十:JCP(三):JCP编程模型
【Java安全技术探索之路系列:Java可扩展安全架构】之十一:JSSE(一):JSSE架构介绍
【Java安全技术探索之路系列:Java可扩展安全架构】之十二:JSSE(二):JSSE类和接口
【Java安全技术探索之路系列:Java可扩展安全架构】之十三:JSSE(三):JSSE编程模型
【Java安全技术探索之路系列:Java可扩展安全架构】之十四:JAAS(一):JAAS架构介绍
【Java安全技术探索之路系列:Java可扩展安全架构】之十五:JAAS(二):JAAS类和接口
【Java安全技术探索之路系列:Java可扩展安全架构】之十六:JAAS(三):JAAS编程模型
【Java安全技术探索之路系列:Java可扩展安全架构】之十七:JGSS(一):JGSS架构介绍
【Java安全技术探索之路系列:Java可扩展安全架构】之十八:JGSS(二):JGSS类和接口
【Java安全技术探索之路系列:Java可扩展安全架构】之十九:JGSS(三):JGSS编程模型
【Java安全技术探索之路系列:Java可扩展安全架构】之二十:SASL(一):SASL架构介绍
【Java安全技术探索之路系列:Java可扩展安全架构】之二十一:SASL(二):SASL类和接口
【Java安全技术探索之路系列:Java可扩展安全架构】之二十二:SASL(三):SASL编程模型

一 JAAS认证

在JARS认证过程中,客户端应用通过实例化LoginContext对象启动认证。然后,LoginContext与LoginModule通信,并由LoginModule执行实际的认证过程。由于LoginContex使用的LoginModule提供的通用接口,因此在运行时比较容易改变认证提供者,且无须对LoginGontext做任何修改。典型的Logi}ule将提示输人用户名/密码并对其进行验证,或者同其他认证提供者(如RSA SecurelD、智能卡、生物特征)交互。LoginModule使用CallbackHandler与客户端通信以执行用户交互,从而获得认证信息并通告登录进度和认证事件。

1.1 实现JAAS登录模块

实现JAAS登录模块的步骤如下所示:

  1. 定义一个代表登录模块的类,实现接口LoginModule。
  2. 实现接口LoginModule的方法。

1.2 配置JAAS登录模块的提供者

JAAS登录模块在属性文件JAVA_HOME/jre/lib/security/java.security中配置。要在J2SE环境中配置JARS登录模块,

为应用配里JAAS登录模块

可以使用JARS配置文件(如my-jaas.conf )为应用配置JAAS登录模块。JARS配置文件指定一个或多个用于认证的JAAS登录模块。该配置文件中的每一项都用应用名称标识,并包含为该应用配置的登录模块列表。每个登录模块都是由其全限定类名和一个认证标志值指定的,认证标志值可以控制整个认证行为。认证过程将按配置文件中指定的条目列表依次执行。下面是认证标志值的可能取值:

  • Required(必需的):必须通过相关的登录模块认证,但无论成功还是失败,认证都将继续处理后续的登录模块。
  • Requisite必要的):表示仅当相关的登录模块成功,整个认证才视为是成功的。如果成功,认证将继续处理后续的登录模块;如果失败,将结束认证并返回应用。
  • Sufficient(足够的):表示只要相关的登录模块认证成功,则整个认证就是成功的。如果相关的认证成功,就返回应用,不再继续处理后续的登录模块;如果认证失败,则继续处理后续的登录模块。
  • Optional(可选的):相关的登录模块认证并非必需要成功。不论相关认证成功与否,都将继续处理后续的登录模块。

如果没有指定标志值Sufficient,则只有当所有Required和Requisite登录模块都成功了,整个认证才视为是成功的。如果没有指定任何Required或Requisite登录模块,则必须至少有一个Sufficient或Optional登录模块是成功的。除上述标志外,还可以使用名称一值对来指定模块特定的选项,这些选项可直接传递给底层登录模块。

1.3 在客户端实现JAAS认证

在客户端实现JAAS认证的步骤如下所示:

  1. 客户端应用实例化一个LoginContext对象。
  2. LoginContext对象加载JARS配置文件中指定的登录模块。
  3. 客户端应用调用LoginContext对象的login()方法。该方法调用加载的登录模块,并尝试对Subject
    进行认证。如果成功,则登录模块会将客户端凭证(如用户名/密码或令牌)同Subject关联起来。
  4. 最后,LoginContext将认证状态返回给应用。如果认证成功,则应用将从LoginContext中检索已通过认证的Subject。

二 JAAS授权

JARS授权通过添加基于用户、组和角色的访问控制机制,从而增强了Java安全模型。它允许设置用
户级和操作级权限,以便对代码执行者实施访问控制。认证过程中创建的Subject对象代表一个已通过认证的实体。Subject对象通常包含一组Principal,其中每个Principal都代表一个应用的调用者。权限是使用策略授给Principal的。当登录的用户通过认证后,应用便根据用户的访问控制上下文将Principal和Subject对象关联起来。

2.1 实现JAAS授权

实现JAAS授权步骤如下所示:

  1. 调用者必须有一个已通过认证的Subject对象。
  2. 必须有一个使用Principal和权限配置的策略文件。
  3. 调用者的Subject对象必须同当前的访问控制对象关联起来。

2.2 使用JAAS共享状态的单点登录

JAAS共享状态支持在多个认证模块之间共享安全凭证(如用户名/密码、共享秘密密钥等)。这允许在多个应用使用的登录模块之间共享安全凭证,从而实现到多个应用的SSDo JAAS提供一种共享状态机制,使登录模块能够将认证凭证放入共享映射(shared map)中,然后将其传递给配置文件中定义的其他登录模块。在典型的SS(〕场景中,多个应用必须使用统一的认证解决方案,使用户只需登录一次就可以访问多个应用。要在JARS中实现SSO,则必须在JARS配置文件中定义所有参与SSC)的应用使用的登录模块。登录模块可以使用配置文件中指定的sharedState参数,该参数可以确保任何登录模块的认证结果都能与其他登录模块共享。例如,当登录模块配置了sharedState时,将允许多个登录模块共享用户名和密码,从而确保用户只需输人一次密码就能通过多个登录模块的认证。

郭孝星
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JAAS灵活的Java安全机制.docx
09-04
Java Authentication Authorization Service(JAASJava 验证和授权API)提供了灵活和可伸缩的机制来保证客户端或服务器端的Java 程序。Java 早期的安全框架强调的是通过验证代码的来源和作者,保护用户避免受到下载下来的代码的攻击。JAAS 强调的是通过验证谁在运行代码以及他/她的权限来保护系统面受用户的攻击。它让你能够将一些标准的安全机制,例如 Solaris NIS(网络信息服务)、Windows NT、LDAP(轻量目录存取协议),Kerberos等通过一种通用的,可配置的方式集成到系统中。本文首先向你介绍JAAS 验证中的一些核心部分,然后通过例子向你展示如何开发登录模块。
java反编译软件包 Jode.jar
05-23
java 反编译软件包 Jode.jar java 反编译软件包 Jode.jar java 反编译软件包 Jode.jar
Java安全体系结构
到黄昏,点点滴滴
11-15 901
原文出处:http://bbs.51cto.com/thread-970888-1.html 1 绪论 Java安全好象是目前的编程语言中最优秀的一种,Java技术之所以适用于网络就是因为它有完备的、设计到其结构中的安全模式。上面我们讨论过关于类装载和命名空间等Java特有的属性,那么现在我们来看一看在实际的操作中这些特性是怎样达到安全的。 1.1 概述 Java编程语言是一种
Java安全技术探索之路系列Java扩展安全架构】之十四:JAAS(一):JAAS架构介绍
06-16 2078
作者:郭嘉 邮箱:[email protected] 博客:http://blog.csdn.net/allenwells github:https://github.com/AllenWellJAAS,即Java认证和授权服务。 认证是通过验证用户或设备的身份来判断真实性和可信赖性的过程。 授权是根据提出请求的身份被授予的权限来提供访问资源或执行功能的权限。 JAAS为基于Java的应用解
JavaSecurity和JAAS——Java标准安全体系概述(下)
不动明王1984的博客
11-01 3373
java标准安全体系分为两大部分,一个是在JDK1.0引入并在JDK2进行了重构的代表着以代码为中心的授权体系。此体系下,关注的重点在于“这段代码能访问哪些系统资源”;另一个是在JDK1.3以扩展的形式引入,并在JDK1.4作为核心集成进来的以用户为中心的认证与授权体系JAAS。此时,关注的重点变成了“运行这段代码的用户的访问权限是什么”。其中JAAS是在java security基础上对组件进行...
Kafka使用SASL_PLAINTEXT实现简易的用户认证及权限
热门推荐
wsrmzqy的专栏
05-15 1万+
SASL_PLAINTEXT 实现认证 1. server.properties中添加: listeners=SASL_PLAINTEXT://hostname:9092 security.inter.broker.protocol=SASL_PLAINTEXT sasl.enabled.mechanisms=PLAIN sasl.mechanism.inter.broker.protocol...
JAAS:灵活的Java安全机制
oicqren的专栏
11-24 1552
  Java Authentication Authorization Service(JAASJava验证和授权API)提供了灵活和可伸缩的机制来保证客户端或服务器端的Java程序。Java早期的安全框架强调的是通过验证代码的来源和作者,保护用户避免受到下载下来的代码的攻击。JAAS强调的是通过验证谁在运行代码以及他/她的权限来保护系统面受用户的攻击。它让你能够将一些标准的安全机制,例如S
Kafka JAAS 安全认证流程
坚持的旅程
07-27 2958
 1. mechanism不在enable列表时,返回enabled_mechanisms 2. 在PLAIN 方式时,client 发来的信息是“[authzid] UTF8NUL authcid UTF8NUL passwd”,server根据server jaas文件里的username password来判断client发来的authcid和passwd正不正确。 代码在 or
Kafka JAAS Plain SASL 安全认证配置
坚持的旅程
07-27 1万+
1. 为zookeeper添加 jaas 文件 zookeeper { org.apache.kafka.common.security.plain.PlainLoginModule required username="geting" password="geting"; };
java如何编译和反编译,JAVA 如何反编译的自己的程序
weixin_42317626的博客
03-10 419
该楼层疑似违规已被系统折叠隐藏此楼查看此楼JAVA 如何反编译的自己的程序反编译的工具有好多, 在众多的JAVA反编译工具中,有几种非常著名的工具使用了相同的核心引擎——JAD,其中主要包括:Front End Plus、mDeJava、Decafe Pro、Cavaj Java Decompiler、DJ Java Decompiler、NMI’s Java Class Viewer和国产的J...
JAAS基础上的Java安全编程
09-25
JAAS(Java Authentication and Authentication Service Jay,认证和授权服务)是Java安全编程的一个重要补 充。它提供了根据验证主题身份来验证主题和授权资源访问的标准方法。本文较全面地介绍了JAAS的特点、组成 ...
java-security-presentation:纯JavaJAAS和RBAC的实际使用
03-02
export JAVA_OPTS='-Djavax.net.ssl.trustStore=/vagrant/cacerts_from_ubuntu_18.04' 首先安装sdkman curl -s "https://get.sdkman.io" | bash 然后激活 source "/home/vagrant/.sdkman/bin/sdkman-init.sh" 并...
login-module:如何使用 JAAS 登录工具安全登录 tomcat 应用程序的示例
07-05
登录模块如何使用 JAAS 登录工具安全登录 tomcat 应用程序的示例。...演示 - 个人借贷管理... 前端代码:src/main/webapp/admin 应用代码:src/main/java/ 属性:jaas.config(链接到 server.xml 领域,后者又链接到此模
AuxeanneRealm:AuxeanneRealmAPI的目标是Glassfish应用服务器,以轻松扩展Java身份验证和授权服务(JAAS
05-16
AuxeanneRealmAPI AuxeanneRealmAPI的目标是Glassfish应用服务器,以轻松扩展Java身份验证和授权服务(JAAS)。 该API将这些任务委托给部署在Glassfish实例(WAR,EAR)中的本地EJB Bean,从而允许: 充分利用容器...
Java代码保护探索之路系列:代码加密】之一:代码加密开篇 - DES算法加解密Java类文件
06-04 5494
作者:郭嘉 邮箱:[email protected] 博客:http://blog.csdn.net/allenwells github:https://github.com/AllenWells3代码加密也是对Java代码进行保护的一种重要方式,作为Java代码加密开篇的文章,本文先举例介绍,如何利用加密算法实现对.class文件进行加密。注意为说明基本原理,本文程序采用命令行进行操作,后
Java安全技术探索之路系列Java扩展安全架构】之二:JCA(一):JCA架构介绍
06-15 5153
作者:郭嘉 邮箱:[email protected] 博客:http://blog.csdn.net/allenwells github:https://github.com/AllenWell一 JCA加密服务通过定义加密服务的类型和功能,JCA可以提供各种加密算法的支持,加密服务包括对消息摘要和数字签名的支持。整个JCA结构如下图所示:1.1 JCA加密服务提供者加密服务提供者是一个包含
Java安全技术探索之路系列Java扩展安全架构】之五:JCE(一):JCE架构介绍
06-15 4805
作者:郭嘉 邮箱:[email protected] 博客:http://blog.csdn.net/allenwells github:https://github.com/AllenWellJCE最初是作为JCA的扩展包开发的,旨在提供受美国出口控制条例管制的加密服务API和实现。JCE提供一个提供者实现和一组相关的API和包,以支持加密和解密,密钥的生成和协商以及消息验证算法,其中对加
Java安全技术探索之路系列Java扩展安全架构】之六:JCE(二):JCE类和接口
06-15 3147
作者:郭嘉 邮箱:[email protected] 博客:http://blog.csdn.net/allenwells github:https://github.com/AllenWell一 JCE提供者类JCE使用JCA的提供者类。二 JCE引擎类2.1 javax.crypto.CipherCipher(加密算法类)为加密算法提供加密和解密的功能。2.2 javax.crypto.
【Android SDK程序逆向分析与破解系列】之一:Android安装程序APK分析
05-06 2781
作者:郭嘉 邮箱:[email protected] 博客:http://blog.csdn.net/allenwells github:https://github.com/AllenWells【Android SDK程序逆向分析与破解系列】章节索引一 APK的生成流程 打包资源文件,生成R.java文件。 处理aidl文件,生成相应的Java文件。 编译工程源代码,生成相应的class文
sasl.jaas.config在java代码中如何配置
最新发布
05-29
Java代码中配置`sasl.jaas.config`需要使用`java.util.Properties`对象来设置SASL的JAAS配置。下面是一个示例代码: ```java import java.util.Properties; public class KafkaProducerConfig { private final String BOOTSTRAP_SERVERS = "localhost:9092"; private final String CLIENT_ID = "kafka-producer"; private final String KEY_SERIALIZER = "org.apache.kafka.common.serialization.StringSerializer"; private final String VALUE_SERIALIZER = "org.apache.kafka.common.serialization.StringSerializer"; private final String SASL_JAAS_CONFIG = "org.apache.kafka.common.security.plain.PlainLoginModule required username=\"username\" password=\"password\";"; public Properties getConfig() { Properties props = new Properties(); props.put("bootstrap.servers", BOOTSTRAP_SERVERS); props.put("client.id", CLIENT_ID); props.put("key.serializer", KEY_SERIALIZER); props.put("value.serializer", VALUE_SERIALIZER); props.put("sasl.jaas.config", SASL_JAAS_CONFIG); props.put("security.protocol", "SASL_PLAINTEXT"); props.put("sasl.mechanism", "PLAIN"); return props; } } ``` 在上面的代码中,我们创建了一个`Properties`对象,并设置了`bootstrap.servers`,`client.id`,`key.serializer`和`value.serializer`等Kafka生产者的配置参数。然后,我们设置`sasl.jaas.config`为SASL的JAAS配置,这里使用的是PLAIN文本认证模式,用户名为`username`,密码为`password`。最后,我们还设置了`security.protocol`和`sasl.mechanism`,以指定使用的SASL协议和认证机制。 你可以根据自己的需要修改相应的配置参数和认证方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值