一. 什么是 JAAS ?
JAAS ( Java Authentication and Authorization Service )是一个在 java 中验证用户和给用户授权的可移植性接口。
开发者可以通过两种不同应用场景使用到 JAAS :
1. java 单独连接到远程 EJB 系统时
2. 当客户通过 WEB 浏览器连接到 Servlet 或 jsp 时, WEB 浏览器用户需要提供凭证给 Servlet 或 jsp 层。随后, Servlet 或 jsp 层能够借助 JAAS 完成用户的认证操作。
为系统增加安全性时,客户端需要通过两个安全措施:
1. 首先,客户端必须通过验证。验证过程合适客户身份。一旦通过验证,在接下来的
会话过程中,这个用户就与一个安全身份相联系。
2. 客户端必须经过授权。客户一旦通过验证,它还必须具有执行相应操作的权限。
二 . 在 WEB 应用中应用 JAAS(以JBOSS服务器环境为例)
WEB 浏览器可以使用多种方法提供身份证明,例如:基本验证,基于表单的验证,摘要验证,正数验证等。这里介绍的是基本验证,即 WEB 客户端想服务器提供一个用户名和密码,这个服务器通过检查存储在永久性数据库中的用户名和密码来验证这些证明身份的信息。
1. 在 WEB 应用中的 web.xml 中声明角色,例如:
<security-role>
<role-name>manager</role-name>