在Riena中使用安全¶
安全包括很多方面。本文档只会涉及认证,授权和处理会话(Session )。不包括SSL证书,加密等内容。 Java已经提供了一堆处理认证和授权的类。
- Principal
- Subject
- Permission
- SecurityManager? ?
- LoginModule? ?
- CallbackHandler? ?
- Callback 同时也提供了,验证授权的策略提供者。
这 个API和类就是JAAS。Riena会使用JAAS类。另外有一个叫equinox.security的处于孵化状态的项目。他是JAAS在 eclipse世界中的一个封装。因为该项目的成熟度还不高,所以Riena就直接使用JAAS。等该项目成熟后再切换过去。在Riena中使用Jaas 的难点在于如何在分布式场景中初始化JAAS,那些代码在客户端运行,那些代码在服务端运行。Jaas可以用户分布式场景,但是没有专门支持。Riena 就填补了这一块。
认证¶
在Riena中认证有如下几个步骤:
- 客户端拥有他自己的本地的LoginModule? (LoginModule? ? Client)和本地的CallbackHandler? (都是标准的JAAS类)。
- 本地的LoginModule? 定义他自己的callback(例如name,password)
- 本地的CallbackHandler? 为上面的callback提供值(比如从界面获取的数据)
- 因为本地没有验证数据,所以本地LoginModule? 不能验证。那么它就通过WebService? 去调用服务端的Login。
- 服务端的认证Webservice就去调用服务端的LoginModule?
- 服务端LoginModule? 再次定义callback,他们应该是和客户端的LoginModule? 所定义的一样。
- authentication webservice
- 服务端的LoginModule? 就像平常一样来验证客户端传来的数据。
- 如果验证成功,远端Login Module将会产生一个Principal对象并把他添加到本地Subject。
- Authentication 服务,让SessionService? 产生一个sessionid,并把Subject存到会话仓库(Session store)中
- 最后把Subject作为调用方法的返回值返回给客户端。并把Session id作为远程服务通讯协议的一部分返回给客户端。
说明:该系列文章我把他放到 Rienacn这个项目中。 http://code.google.com/p/rienacn/。 欢迎各位的宝贵意见。