使用JAAS实现用户的身分验证和基于身份的授权,其实简单来说只需要记住这几个步骤:
1. 定义一个CallbackHandler。
2. 实例化一个LoginContext对象。最简单的是使用LoginContext(String name,CallbackHandler callbackHandler)的构造器。其中name是在登录配置文件中的配置名称。callbackHandler是上一步所定义的 callbackHandler。注意:当一个LoginContext对象实例化时,它会初始化登录配置文件中的LoginModule,并且会将 callbackHandler传入所指定的LoginModule中的initialize方法。
3. 执行LoginContext对象的login()方法。此方法会按照顺序自动执行指定的LoginModule中的login()方法和commit()方法。
4. 如果验证通过,便可以通过LoginContext对象的getSubject()方法获得当前登录的主题(Subject)。
5. 得到相应的Subject之后,便可通过此Subject获得当前登录用户的主体(Principal)。此Principal记录了登录用户的相关信息。
6. 一般我们可能主要使用基于编程的授权(Programmatic Authorization)。所以此时我们可能需要一个PrivilegedAction对象,在此对象的run()方法中执行需要授权的内容。
7. 将登录成功后得到的Subject以及上一步得到的PrivilegedAction对象作为参数传入Subject类的静态方法 doAsPrivileged(Subject subject,PrivilegedAction action,AccessControlContext acc),其中AccessControlContext对象可以不指定(取null)。这个方法会自动调用PrivilegedAction中的run ()方法,并且返回run()方法的返回值。
至此,基本的基于JAAS的验证和授权便结束了。
另外,根据需求的不同,可以自己实现CallbackHandler和LoginModule。其中,在自定义LoginModule时,注意其中的 login()和commit()方法,login()方法实现了用户的验证,而在commit()方法中将经过验证的用户的信息写入到自己定义的 Principal对象中,然后再将此Principal对象加入到Subject对象中。这个Subject会通过LoginContext对象的 getSubject()方法获得。
1. 定义一个CallbackHandler。
2. 实例化一个LoginContext对象。最简单的是使用LoginContext(String name,CallbackHandler callbackHandler)的构造器。其中name是在登录配置文件中的配置名称。callbackHandler是上一步所定义的 callbackHandler。注意:当一个LoginContext对象实例化时,它会初始化登录配置文件中的LoginModule,并且会将 callbackHandler传入所指定的LoginModule中的initialize方法。
3. 执行LoginContext对象的login()方法。此方法会按照顺序自动执行指定的LoginModule中的login()方法和commit()方法。
4. 如果验证通过,便可以通过LoginContext对象的getSubject()方法获得当前登录的主题(Subject)。
5. 得到相应的Subject之后,便可通过此Subject获得当前登录用户的主体(Principal)。此Principal记录了登录用户的相关信息。
6. 一般我们可能主要使用基于编程的授权(Programmatic Authorization)。所以此时我们可能需要一个PrivilegedAction对象,在此对象的run()方法中执行需要授权的内容。
7. 将登录成功后得到的Subject以及上一步得到的PrivilegedAction对象作为参数传入Subject类的静态方法 doAsPrivileged(Subject subject,PrivilegedAction action,AccessControlContext acc),其中AccessControlContext对象可以不指定(取null)。这个方法会自动调用PrivilegedAction中的run ()方法,并且返回run()方法的返回值。
至此,基本的基于JAAS的验证和授权便结束了。
另外,根据需求的不同,可以自己实现CallbackHandler和LoginModule。其中,在自定义LoginModule时,注意其中的 login()和commit()方法,login()方法实现了用户的验证,而在commit()方法中将经过验证的用户的信息写入到自己定义的 Principal对象中,然后再将此Principal对象加入到Subject对象中。这个Subject会通过LoginContext对象的 getSubject()方法获得。