JAAS基础1

最新推荐文章于 2021-02-21 05:43:34 发布
最新推荐文章于 2021-02-21 05:43:34 发布
阅读量670 收藏
点赞数
分类专栏: jaas
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ice00mouse/article/details/37650263
版权

核心类和接口

与JAAS相关的核心类和接口,可以分为三类:

    公共类:

        Subject, Principal, Credential

    认证类和接口:

        LoginContext, LoginModule, CallbackHandler, Callback

    授权类:

        Policy, AuthPermission, PrivateCredentialPermission

公共类

javax.security.auth.Subject是JAAS的关键类,代表了关于一个主体的一组相关信息。包括主体的Principal, public credentials,and private credentials。

java.security.Principal接口被用来代表当事人。

JAAS定义的Credential可以是任何Object.

Subject

在授权访问资源前,应先验证请求来源。Subject可以是一个人也可以是一个服务。当一个subject被验证,一个javax.security.auth.Subject会被关联身份或PrincipalS填充。一个Subject可以拥有许多Principal。比如,一个人可以有名字Principal,社保号Principal等用来区别与其他人。

认证类和接口

认证一个subject(用户或服务),按如下步骤执行:

1、实例化LoginContext

2、LoginContext查阅Configuration加载所有的LoginModuleS配置

3、调用LoginContext的login方法

4、login方法内调用所有加载的LoginModuleS。每一个LoginModule试图认证subject。一旦成功,LoginModules 关联相关Principals 和Credentials 关于Subject对象,对象代表经过身份验证的subject。

5、LoginContext 返回认证状态status

6、如果认证成功,从LoginContext中得到Subject。

授权类(Authorization Classes)

授于访问控制权限,不仅基于什么代码在运行,还要基于谁在运行它。前置条件:

1、用户必须被认证,就像在LoginContext中所描述的。

2、认证的结果Subject必须与访问控制上下文关联,就像在Subject中描述的。

3、基于Principal的条目必须配置在安全策略中,就像我们下面正要描述。

Policy

java.security.Policy是代表了系统范围的访问控制策略的抽象类。在JDK1.4加入Policy API来支持基于Principal的查询。

JDK默认提供了基于文件的子类实现,

AuthPermission

javax.security.auth.AuthPermission此类用于验证权限。AuthPermission 包含一个名称(也称为“目标名称”),但没有动作列表;您并非一定拥有所指定的权限。

目标名称就是安全配置参数的名称(见API)。目前 AuthPermission 对象可用来保护对 Policy、Subject、LoginContext 和 Configuration 对象的访问。

PrivateCredentialPermission

javax.security.auth.PrivateCredentialPermission保护访问Subject的私有Credential,并提供一个公共构建函数

          public PrivateCredentialPermission(String name, String actions);

持人持己
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JAAS.rar_jaas
09-24
JAAS支持角色基础的访问控制(Role-Based Access Control, RBAC),用户被分配到不同的角色,每个角色拥有特定的权限。 3. **配置(Configuration)**:JAAS通过配置文件来指定应用应该如何使用不同的LoginModules...
基于Java JAAS表单的身份验证
最佳 Java 编程
05-09 543
使用JAAS实现登录模块是一个高级主题,而且大多数开发人员也很少有机会参与这种开发。 但是JAAS登录模块的基本实现并不是那么困难,这是因为我打算将其发布。 在这里,我正在解释如何实现tomcat管理的身份验证模块。 此实现与容器无关。 我们可以将其与稍有更改的任何容器一起使用。 第一步,我们需要创建一个实现javax.security.auth.spi.LoginModule...
Spring Security教程 第二弹 spring security核心源码分析
学无止境!
10-24 620
1、Spring Security如何灵活集成多种认证技术? 首先是javax.security.auth.Subject类,而一个Subject类包含多个javax.security.Principal类 Principal类源码: public interface Principal { public boolean equals(Object another); public String toString(); public int hashCode(); p...
Java安全之认证与授权
云原生之家
05-20 6493
Java平台提供的认证与授权服务(Java Authentication and Authorization Service (JAAS)),能够控制代码对敏感或关键资源的访问,例如文件系统,网络服务,系统属性访问等,加强代码的安全性。主要包含认证与授权两部分,认证的目的在于可靠安全地确定当前是谁在执行代码,代码可以是一个应用,applet,bean,servlet;授权的目的在于确定了当前执行代
java jaas_JAAS 参考指南
weixin_29430691的博客
02-21 575
术语中英对照缩写全拼中文解释JAASJava Authentication and Authorization ServiceJava身份验证和授权服务PAMPluggable Authentication Module可插拔身份验证模块概览JAAS 代表Java身份验证和授权服务,它被用于两个目的:用户认证,可靠且安全地确定当前是谁在执行Java代码用户授权,确保他们拥有执行操作所需的访问控制权...
Java应用程序 身份认证与授权机制(二)
xhh198781的专栏
10-09 1万+
认证概述 本章中,我们将集中讨论 JAAS 中的认证元素。我们将从描述简单的登录和认证过程开始,它将为您提供 JAAS 认证体系结构的高级别视图。接着,我们将详细讨论体系结构的每一部分。本章结束时,您将有机会仔细地研究两个登录模块的代码。 如果您还没有下载本教程的源代码,
JAAS基础上的Java安全编程
09-25
### 在JAAS基础上的Java安全编程 #### 一、引言 随着互联网技术的发展和企业对数据安全的重视,Java作为一种广泛应用的编程语言,在安全领域扮演着越来越重要的角色。JAAS(Java Authentication and Authorization...
java JAAS登陆验证
01-09
1. **配置**:首先,应用程序通过Jaas.login()方法触发JAAS流程,系统会查找相应的jaas.conf配置文件,确定需要使用的LoginModule。 2. **身份验证**:接着,JAAS根据配置启动对应的LoginModule,执行用户身份验证...
JAAS In Action download
03-01
- `jaas-in-action_chapter01-05.pdf`: 可能介绍了JAAS基础概念和架构。 - `jaas-in-action_chapter02-05.pdf`: 可能深入解析了登录模块和配置文件。 - `jaas-in-action_chapter03-02.pdf` 和 `jaas-in-action_...
JAAS简介及实例
03-01
原代码 博文链接:https://callan.iteye.com/blog/158392
JAAS认证与授权教程
10-19
JAAS认证与授权教程,包含本教程的源代码
JAAS 身份验证技术入门
08-01
JAAS 身份验证技术入门作者 马林
security工作笔记005---JAVA WEB 和.NET Web安全性-身份验证和授权(一)之Principal 解释
热门推荐
添柴程序猿的专栏
08-31 1万+
 JAVA技术交流QQ群:170933152  最近做智慧城市项目,权限这块很复杂,之前又没有设计比较大的权限架构,很是吃力,重头学起, 碰到的知识记录一下。。。 1.认证和授权概述 (1)认证:对用户的身份进行验证。 .NET基于的RBS(参考1)的认证和授权相关的核心是2个接口System.Security.Principal.IPrincipal和System.Security.P...
JAAS:灵活的Java安全机制
oicqren的专栏
11-24 1567
  Java Authentication Authorization Service(JAAS,Java验证和授权API)提供了灵活和可伸缩的机制来保证客户端或服务器端的Java程序。Java早期的安全框架强调的是通过验证代码的来源和作者,保护用户避免受到下载下来的代码的攻击。JAAS强调的是通过验证谁在运行代码以及他/她的权限来保护系统面受用户的攻击。它让你能够将一些标准的安全机制,例如S
【java】java的Jaas授权与鉴权
九师兄
12-29 1647
文章目录1.概述2. 概念预览3.SecurityManager应用场景2. 测试2.1 无安全测试2.2 安全测试2.1 绑定授权策略文件3. 其他java权限4.优化5.再次优化错误集锦1.11.2 1.概述 Jaas主要负责的是 Authentication 和 Authorization。Java平台提供的认证与授权服务(Java Authentication and Authorizat...
JAAS(Java 认证和授权服务)开发指南
lyb520320的博客
07-24 172
本文翻译自:[url]http://java.sun.com/developer/technicalArticles/Security/jaasv2/[/url] 传统的JAVA安全机制没有提供必要的架构支持传统的认证和授权;在J2SE里的安全是基于公钥密码体系和代码签名。也就是说,认证是基于在JVM里执行代码的思想,并且没有对资源请求提供策略。而且授权也是基于这样的概念--代码试图去使用一...
jaas:授权内幕
StarCraft_Mylove的专栏
10-15 3406
 Java 授权内幕:以代码为中心的 Java 2 平台安全体系结构和以用户为中心的 Java 认证和授权服务。 在信息安全性领域,授权是世界的的中心,因为它是控制个体(即人、进程和计算机)对系统资源的访问权限的过程。直到最近,在 Java 安全体系结构中相关的问题都是“这段运行中的代码的访问权限是什么?”。在 JAAS 中,相关问题变成了“运行这段代码的认证用户的访问权限是什么?
java jaas_JAAS(auth和rbac哪个好)
weixin_32141253的博客
02-21 322
JIANGSU ACADEMY OF AGRICULTURAL SCIENCES院名简称希望结合自己的实际情况 比如自己了解的企业 自己工作过的企业不要给我官。确实是如此的,只能得到官方样的答复,因为像我们这种崇尚山寨的国度,什么东西. 使用 JAAS 是一种标准化的办法,对于有异构分布式需求的大型企业推荐用这种标准.September 2013网站上显示是13年的九月Kerberos已经配置完成...
理解JAAS:Java安全机制入门教程
"这篇教程介绍了JAAS(Java Authentication and Authorization Service)的基础知识,它是Java提供的一种灵活且可扩展的安全机制,用于验证和授权Java程序的客户端或服务器端。JAAS允许开发者集成各种标准的安全机制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值