用JAAS 和 JSSE 实现 Java 安全性

最新推荐文章于 2024-11-18 08:41:09 发布
最新推荐文章于 2024-11-18 08:41:09 发布
阅读量405 收藏
点赞数
文章标签: java cryptography authentication security manager 安全相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gamezzf/article/details/6470745
版权

从早期所谓的 Java 沙箱到 JDK 1.4 引入的健壮的、全功能的安全体系结构,安全性一直是 Java 平台的基本组件。从那时到现在,Java 语言的设计者收到了来自团体的大量关于安全的 Java 应用程序(或者企业环境)可以做什么和不做什么的意见,他们自己也添加了若干技巧。

  从早期所谓的 Java 沙箱到 JDK 1.4 引入的健壮的、全功能的安全体系结构,安全性一直是 Java 平台的基本组件。从那时到现在,Java 语言的设计者收到了来自团体的大量关于安全的 Java 应用程序(或者企业环境)可以做什么和不做什么的意见,他们自己也添加了若干技巧。

  可以说随着 J2EE Web 应用程序安全体系结构的引入,我们不断从近 10 年的反复试验有所收获,事实也表明了这一点。J2EE 安全框架由三个 API 组成:Java 认证和授权服务(JAAS)、Java 安全套接字扩展(JSSE)和 Java 加密扩展(Java Cryptography Extension,JCE)。虽然 JCE 是一个有意思和重要的 API,但是它与我们所关注的安全 Web 应用程序开发的“三大项”――认证、授权和传输――并不特别相关。所以在本月的专栏中我们将集中讲述 JAAS 和 JSSE。

  JAAS 和 JSSE 概述

  JAAS 提供了一种灵活的、说明性的机制,用于对用户进行认证并验证他们访问安全资源的能力。JSSE 定义了通过安全套接字层(SSL)进行安全 Web 通信的一种全 Java 的机制。通过结合这两种技术,可以使我们的应用程序:

  验证用户就是他或者她所宣称的那个人(认证)。

  保证允许他或者她访问所要求的资源(授权)。

  通过安全网络连接进行完整的信息交换(传输)。

  现在,我们来看每一个基础的功能组件。

  用 JAAS 进行认证

  JAAS 建立在一种称为可插入的认证模块(Pluggable Authentication Module,PAM)的安全体系结构之上。PAM 的体系结构是 模块化的,这意味着它设计为可以通过交换模块,支持从一个安全协议组件无缝地转换到另一个协议组件。这个框架中定义良好的接口使得无需改变或者干扰任何现有的登录服务就可以加入多种认证技术和授权机制。PAM 体系结构可以集成范围广泛的认证技术,包括 RSA、DCE、Kerberos 以及 S/Key,因而 JAAS 也可以集成这些技术。此外,这个框架与基于智能卡的认证系统和 LDAP 认证兼容。

  就像许多 Java 2 平台技术一样,JAAS API 定义了应用程序代码与将要执行业务逻辑的物理实现之间干净的抽象。这个抽象层不用重新编译现有的应用程序代码就可以作为登录模块的运行时替代。特别是,应用程序写到 LoginContext API,而认证技术提供程序则写到 LoginModule 接口。在运行时, LoginContext 将读取配置文件以确定应使用哪一个(一些)登录模块对访问特定应用程序的用户进行认证。

  JAAS 所使用的认证方案以两种非常重要的实体为基础:principal 和 subject。实际被认证的人或者服务称为 subject。 principal是一个惟一的实体,比如个人或者组的名字、帐号、社会安全号或者类似的惟一标识。为了惟一标识一个 subject(这是认证的关键部分),一个或者多个 principal 必须与这个 subject 相关联。最后,一个 subject 可能拥有安全相关的属性,称为 凭证(credential)。凭证可以是从简单的密码到复杂的加密密钥的任何东西。

  应用程序通过实例化一个 LoginContext 对象开始认证过程。 LoginContext 查询一个配置文件以确定进行认证所使用的一种(或者多种)认证技术以及相应的一个(或者多个) LoginModule 。一个非常简单的 LoginModule 可能会提示输入用户名和密码并对它们进行验证。高级一点的可能会使用现有的操作系统登录身份进行身份验证。理论上,甚至可以将一个 JAAS LoginModule 构建成与指纹识别器或者虹膜扫描仪交互。

  用 JAAS 进行授权

  认证只是 Java 安全框架任务的一半。当用户的身份被确认后,必须对他或者她的访问权限进行检查。只有确认了适当的权限后,用户才可以访问安全的系统或者资源。

  换一种说法,验证了用户或者服务的身份后,就创建一个 Subject 对象来表示经过验证的实体。然后 JAAS 将这个对象传递给任何为保护对敏感系统或资源的访问而建立的授权组件。

  要确定授权,可以向 Java 2 Security Manager 提供 Subject 及其 Principal s,以及 Subject 要执行的特权操作(读/写到文件系统、数据库访问,等等)。Security Manager 会咨询与 Principal s 和权限相关联的策略文件。 如果一个 Subject 的 Principal s 具有执行指定操作的权限,那么就对这个 Subject 授权并允许操作,否则就会拒绝这项操作并抛出一个 SecurityException 。

gamezzf
关注
JAAS:灵活的Java安全机制
12-07
### JAAS:灵活的Java安全机制 #### 一、引言 Java Authentication and Authorization Service (JAAS, Java验证和授权API)为Java应用程序提供了一种扩展标准Java 2安全模型的方法。通过添加验证主题(即用户或其他...
Jaas in Action (java 安全
07-14
"Jaas in Action"这本书,虽然目前还未正式出版,但据称会深入探讨JAAS相关概念和技术,对于理解和应用Java安全机制具有很高的参考价值。 JAAS的主要目标是解决以下几个核心问题: 1. **身份验证...
大数据的安全管理 -- JAAS 认证代码
eyoulc123的博客
12-12 1389
1. JaaS代码在前面已经说明了JAAS的使用,在这一节,主要是解析JAAS在认证时的代码流程,我们可以看到其认证过程只有两行代码:LoginContext lc = new LoginContext("JaaSSampleTest", new TextCallbackHandler()); lc.login();我们可以把它分为二个部分:上下文设置, 登录1.1 上下文的设置LoginCont
5.Jboss下用JAAS处理Web登录安全性范例
刘学文的专栏
09-06 2009
下载地址: http://download.csdn.net/source/330705本示例用了一些hibernate的东西读取数据库,这部分代码可以不必理会. 1.配置JBoss主目录下的server/default/conf下的login-config.xml,加入如下的内容:                                  flag = "required">
关于JAAS的应用
09-23 1205
JavaTM Authentication and Authorization Service (JAAS)在JavaTM 2 SDK Standard Edition (J2SDK)1.3版本中是一个可选的包,而现在JAAS已经整合到J2SDK1.4中.有两种情况使用JAAS:1.用来鉴定用户,能够可靠并安全的确定谁在执行java代码,而不管执行的是一个应用程序或小程序或bean或java se
JAAS(Java 认证和授权服务)
atarik@163.com
02-26 984
传统的JAVA安全机制没有提供必要的架构支持传统的认证和授权;在J2SE里的安全是基于公钥密码体系和代码签名。也就是说,认证是基于在JVM里执行代码的思想,并且没有对资源请求提供策略。而且授权也是基于这样的概念--代码试图去使用一个计算机资源。Java认证和授权服务(JAAS)也就被设计成去应付这些缺点。 JAAS使用基于用户的的访问控制增加了这个已经存在的基于代码的访问控制机制,也提高了认证能力...
JAAS 和 JSSE 实现 Java 安全性
Silence的程序实验室
05-03 556
JAAS 和 JSSE 概述 JAAS 提供了一种灵活的、说明性的机制,用于对用户进行认证并验证他们访问安全资源的能力。JSSE 定义了通过安全套接字层(SSL)进行安全 Web 通信的一种全 Java 的机制。通过结合这两种技术,可以使我们的应用程序: 验证用户就是他或者她所宣称的那个人(认证)。保证允许他或者她访问所要求的资源(授权)。通过安全网络连接进行完整的信息交换(传输)。
Java安全性.docx
05-09
Java 安全性编程概念是非常重要的,Java 平台提供了多种支持安全编程的特性和库扩展,如 JCE、JSSE、CertPath API 和 JAAS 等。学习这些概念和技术可以帮助开发者编写更加安全Java 应用程序。
基于Java的两个通用安全模块的设计与实现.zip
03-14
可以使用Java内置的JaasJava Authentication and Authorization Service)框架,通过配置不同的认证模块(如基于数据库、LDAP或 Kerberos 的模块)来实现。 2. 授权:授权模块负责决定经过身份验证的用户可以访问...
Java-Java加密与安全教程
11-14
1. **Java Authentication and Authorization Service (JAAS)**:JAAS提供了一种灵活的框架,用于实现用户身份验证和权限管理。 2. **Java Secure Channel (JSSE)**:JSSEJava的SSL/TLS实现,用于建立安全的网络...
JAAS 和 JSSE 实现Java 安全性
java专栏
05-24 281
google_ad_client = "pub-8800625213955058";/* 336x280, 创建于 07-11-21 */google_ad_slot = "0989131976";google_ad_width = 336;google_ad_height = 280;//<script type="text/java
Servlet的生命周期
wyk的博客
11-13 1397
Servlet 的生命周期包含四个主要阶段:加载与实例化、初始化、请求处理、销毁。开发者可以在这些生命周期方法中编写初始化、请求处理和资源清理的代码,确保 Web 应用程序的正常运行。
w042基于web的IT技术交流和分享平台的设计与实现
最新发布
卓怡工作室的博客
11-18 746
我国科学技术的不断发展,计算机的应用日渐成熟,其强大的功能给人们留下深刻的印象,它已经应用到了人类社会的各个层次的领域,发挥着重要的不可替换的作用。信息管理作为计算机应用的一部分,使用计算机进行管理,具有非常明显的优点,利用网络的优势特开发了本基于SpringBoot的IT技术交流和分享平台。 本IT技术交流和分享平台是基于SpringBoot框架,采用Java技术,MYSQL数据库进行开发的。系统具有灵活的一体化设计方式,圆满完成了整个系统的界面设计。本系统实现了用户功能模块和管理员功能模块两大部分,
Mybatis
庸不易的博客
11-15 838
1、定义不同:#{} 预处理:而 ${} 是直接替换2、使用不同:#{} 适用于所有类型的参数匹配;但 ${} 只适用于数值类型。3、安全性不同:#{} 性能高,并且没有安全问题;但 $ {} 存在 SQL 注入的安全问题。4、使用场景不同:当传递的是一个 SQL 关键字 的时候,只能 使用 ${}。当传递的是一个字段,总之,就是需要获取到参数类型 与 内容,只能使用 #{}。(PS:数字类型,#{} 和 ${} 都是可以使用的!5、 ${} 不能用于 模糊匹配查询;
java加锁问题详解
qq_74056922的博客
11-14 816
java(JVAM)对加锁的API进行了封装,通过使用synchronized关键字来完成加锁操作。
什么是面向对象编程?什么是面向过程编程?
m0_70208894的博客
11-15 677
不同的编程范式适用于不同的场景,选择合适的范式可以提高代码的可维护性、可读性和效率。Java 和 Go 的选择反映了不同的设计哲学,Java 更加注重封装和对象的使用,而 Go 更加简洁,强调过程和函数的使用。
如何合理设计一套springcloud+springboot项目中的各个微服务模块之间的继承关系的最优方案
tigerhhzz的博客
11-14 1181
文章目录一、模块化设计所遵循的原则二、项目架构设计三、各个模块作用说明3.1 core 模块3.2 common 模块3.3 generatorcode模块3.4 business 模块3.5 web 模块3.6 admin 模块3.7 父pom四、采用import引入SpringBoot 在springcloud微服务项目中经常用到多模块化的架构设计,随着业务模块的增多,各个服务模块之间的依赖关系就越来越复杂;本文从项目起初的搭建,给出一套Model优秀设计方案。 一、模块化设计所遵循的原则 单一职责
Java安全编程实践:加密解密与HTTPS
总结来说,"Java安全性编程实例" 是一本实用性极强的指南,旨在帮助读者掌握Java环境下的安全编程技巧,通过实例驱动的方式,让读者在实践中学习和理解Java安全框架的各种组件和用法。无论是初级开发者还是希望深入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值