在Riena中使用安全

在Riena中使用安全¶

安全包括很多方面。本文档只会涉及认证，授权和处理会话（Session )。不包括SSL证书，加密等内容。 Java已经提供了一堆处理认证和授权的类。

• Principal
• Subject
• Permission
• SecurityManager? ?
• LoginModule? ?
• CallbackHandler? ?
• Callback 同时也提供了，验证授权的策略提供者。

这 个API和类就是JAAS。Riena会使用JAAS类。另外有一个叫equinox.security的处于孵化状态的项目。他是JAAS在 eclipse世界中的一个封装。因为该项目的成熟度还不高，所以Riena就直接使用JAAS。等该项目成熟后再切换过去。在Riena中使用Jaas 的难点在于如何在分布式场景中初始化JAAS，那些代码在客户端运行，那些代码在服务端运行。Jaas可以用户分布式场景，但是没有专门支持。Riena 就填补了这一块。

认证¶

在Riena中认证有如下几个步骤：

• 客户端拥有他自己的本地的LoginModule? （LoginModule? ? Client）和本地的CallbackHandler? (都是标准的JAAS类)。
• 本地的LoginModule? 定义他自己的callback(例如name,password)
• 本地的CallbackHandler? 为上面的callback提供值（比如从界面获取的数据）
• 因为本地没有验证数据，所以本地LoginModule? 不能验证。那么它就通过WebService? 去调用服务端的Login。
• 服务端的认证Webservice就去调用服务端的LoginModule?
• 服务端LoginModule? 再次定义callback，他们应该是和客户端的LoginModule? 所定义的一样。
• authentication webservice
• 服务端的LoginModule? 就像平常一样来验证客户端传来的数据。
• 如果验证成功，远端Login Module将会产生一个Principal对象并把他添加到本地Subject。
• Authentication 服务，让SessionService? 产生一个sessionid,并把Subject存到会话仓库（Session store）中
• 最后把Subject作为调用方法的返回值返回给客户端。并把Session id作为远程服务通讯协议的一部分返回给客户端。

 

• 
  说明：该系列文章我把他放到 Rienacn这个项目中。 http://code.google.com/p/rienacn/。 欢迎各位的宝贵意见。