项目中用到了JAAS,以前没有接触过,google了半天资料。赶快纪录下来:
1.JAAS全称为Java authentication and authorization service,用于设计可拔插的安全机制。一般项目中用在web端或ejb访问控制。
2.直接以例子进行(基于JBoss4.0.0):
2.1 首先确定需要以何种方式进行验证,文件/数据库/LDAP。目前的项目是用数据库方式。
2.2 在JBoss中以文件方式验证,可以参考jmx-console.war的配置:将jboss-web.xml中的注释去掉,然后再把web.xml中的那一段注释拿掉。确认classes目录下的jmx-console-users.properties和jmx-console-roles.properties存在。
2.3重起jboss,http://localhost:8080 点击jmx-console链接,则需要安全验证。
3.在web应用中使用基于database方式的JAAS:
3.1 创建role table:
CREATE TABLE Principals (PrincipalID VARCHAR (64) PRIMARY KEY,Password VARCHAR (64));
INSERT INTO Principals VALUES ('admin', '123');
INSERT INTO Principals VALUES ('guest', '456') ;
CREATE TABLE Roles (PrincipalID VARCHAR (64), Role VARCHAR (64), RoleGroup VARCHAR (64));
INSERT INTO Roles VALUES ('admin', 'admin', 'Roles');
INSERT INTO Roles VALUES ('guest', 'guest', 'CallerPrincipal');
3.2 创建一个datasource文件。可以从<%jboss_home%>/server/docs/examples/jca 目录下拷贝一个至deploy目录。Ds文件的内容作相应修改。
3.3 修改<%jboss_home%>/server/你的服务/conf/login-config.xml,添加:
[color=green] <application-policy name="MyEJB">
<authentication>
<login-module code="org.jboss.security.auth.spi.DatabaseServerLoginModule" flag="required">
<module-option name = "dsJndiName">java:/MSSQLDS</module-option>
<module-option name = "principalsQuery">SELECT Password FROM Principals WHERE PrincipalID=?</module-option>
<module-option name = "rolesQuery">SELECT Role,RoleGroup FROM Roles WHERE PrincipalID=?</module-option>
</login-module>
</authentication>
</application-policy>[/color]
3.4 仿照jmx-console的配置,将jboss-web.xml,和 web.xml中注释掉的security内容拷贝过来。其中为:java:/jaas/ MyEJB 与 login-config.xml的设置对应,为super与数据库对应。
3.5 重起jboss.访问web应用.
4.在EJB中使用
4.1 需要在ejb-jar.xml,jboss.xml中添加属性。
ejb-jar.xml:
[color=green] <ejb-jar>
<enterprise-beans>
<session>
<ejb-name>BookService</ejb-name>
<home>com.shawn.BookRemoteHome</home>
<remote>com.shawn.BookRemoteObject</remote>
<ejb-class>com.shawn.BookServiceBean</ejb-class>
<session-type>Stateless</session-type>
<transaction-type>Container</transaction-type>
<security-role-ref>
<role-name>super</role-name>
<role-link>super</role-link>
</security-role-ref>
</session>
</enterprise-beans>
<assembly-descriptor>
<security-role>
<description>Administrator</description>
<role-name>super</role-name>
</security-role>
<method-permission>
<description>addbook</description>
<role-name>super</role-name>
<method>
<ejb-name>BookService</ejb-name>
<method-name>*</method-name>
</method>
</method-permission>
</assembly-descriptor>
</ejb-jar>[/color]
相应的jboss.xml:
[color=green] <jboss>
<security-domain>java:/jaas/MyEJB</security-domain>
<enterprise-beans>
<session>
<ejb-name>BookService</ejb-name>
<jndi-name>BookService</jndi-name>
</session>
</enterprise-beans>
<assembly-descriptor>
<security-role>
<role-name>super</role-name>
<principal-name>super</principal-name>
</security-role>
</assembly-descriptor>
</jboss> [/color]
4.2 写一个servlet(LoginServlet)访问该ejb.
Properties pro = System.getProperties();
pro.setProperty(Context.INITIAL_CONTEXT_FACTORY, "org.jnp.interfaces.NamingContextFactory");
pro.setProperty(Context.PROVIDER_URL, "jnp://localhost:1099");
Context con = new InitialContext(pro);
Object obj = con.lookup("BookService");
BookRemoteHome home = (BookRemoteHome)PortableRemoteObject.narrow(obj, BookRemoteHome.class);
BookRemoteObject bookService= home.create();
System.out.println("Create home successfully!");
. . .只贴点关键代码
4.3 部署ejb和web应用,启动JBoss,访问web时需要jaas登陆,访问LoginServlet时调用ejb则会使用ejb的jaas的检验。
5.当然jaas允许编写自定义的login module,总的说来就是:
实现LoginModule接口,实现其中的initilize(),login() . . . 方法;
实现 CallbackHandler接口,实现其中的handle()方法;
实现Principal接口。
6.仍然有疑问,留待以后考虑:
6.1客户端直接访问,譬如eclipse访问该EJB总是会报principal不匹配(No matching username found in Principals),只有在web登陆后才可以正常访问需要授权的EJB。客户端不能利用
pro.setProperty(Context.SECURITY_PRINCIPAL, "xxx”)
pro.setProperty(Context.SECURITY_CREDENTIALS, "xxx”)
的方式访问?
6.2 JBoss4.0.0设置ejb的jaas时,总会是报有princpal不存在的异常,换成4.0.5GA就可以,奇怪哉?
至此完了,比较粗略,第一次纪录自己的体会不容易啊。
1.JAAS全称为Java authentication and authorization service,用于设计可拔插的安全机制。一般项目中用在web端或ejb访问控制。
2.直接以例子进行(基于JBoss4.0.0):
2.1 首先确定需要以何种方式进行验证,文件/数据库/LDAP。目前的项目是用数据库方式。
2.2 在JBoss中以文件方式验证,可以参考jmx-console.war的配置:将jboss-web.xml中的注释去掉,然后再把web.xml中的那一段注释拿掉。确认classes目录下的jmx-console-users.properties和jmx-console-roles.properties存在。
2.3重起jboss,http://localhost:8080 点击jmx-console链接,则需要安全验证。
3.在web应用中使用基于database方式的JAAS:
3.1 创建role table:
CREATE TABLE Principals (PrincipalID VARCHAR (64) PRIMARY KEY,Password VARCHAR (64));
INSERT INTO Principals VALUES ('admin', '123');
INSERT INTO Principals VALUES ('guest', '456') ;
CREATE TABLE Roles (PrincipalID VARCHAR (64), Role VARCHAR (64), RoleGroup VARCHAR (64));
INSERT INTO Roles VALUES ('admin', 'admin', 'Roles');
INSERT INTO Roles VALUES ('guest', 'guest', 'CallerPrincipal');
3.2 创建一个datasource文件。可以从<%jboss_home%>/server/docs/examples/jca 目录下拷贝一个至deploy目录。Ds文件的内容作相应修改。
3.3 修改<%jboss_home%>/server/你的服务/conf/login-config.xml,添加:
[color=green] <application-policy name="MyEJB">
<authentication>
<login-module code="org.jboss.security.auth.spi.DatabaseServerLoginModule" flag="required">
<module-option name = "dsJndiName">java:/MSSQLDS</module-option>
<module-option name = "principalsQuery">SELECT Password FROM Principals WHERE PrincipalID=?</module-option>
<module-option name = "rolesQuery">SELECT Role,RoleGroup FROM Roles WHERE PrincipalID=?</module-option>
</login-module>
</authentication>
</application-policy>[/color]
3.4 仿照jmx-console的配置,将jboss-web.xml,和 web.xml中注释掉的security内容拷贝过来。其中为:java:/jaas/ MyEJB 与 login-config.xml的设置对应,为super与数据库对应。
3.5 重起jboss.访问web应用.
4.在EJB中使用
4.1 需要在ejb-jar.xml,jboss.xml中添加属性。
ejb-jar.xml:
[color=green] <ejb-jar>
<enterprise-beans>
<session>
<ejb-name>BookService</ejb-name>
<home>com.shawn.BookRemoteHome</home>
<remote>com.shawn.BookRemoteObject</remote>
<ejb-class>com.shawn.BookServiceBean</ejb-class>
<session-type>Stateless</session-type>
<transaction-type>Container</transaction-type>
<security-role-ref>
<role-name>super</role-name>
<role-link>super</role-link>
</security-role-ref>
</session>
</enterprise-beans>
<assembly-descriptor>
<security-role>
<description>Administrator</description>
<role-name>super</role-name>
</security-role>
<method-permission>
<description>addbook</description>
<role-name>super</role-name>
<method>
<ejb-name>BookService</ejb-name>
<method-name>*</method-name>
</method>
</method-permission>
</assembly-descriptor>
</ejb-jar>[/color]
相应的jboss.xml:
[color=green] <jboss>
<security-domain>java:/jaas/MyEJB</security-domain>
<enterprise-beans>
<session>
<ejb-name>BookService</ejb-name>
<jndi-name>BookService</jndi-name>
</session>
</enterprise-beans>
<assembly-descriptor>
<security-role>
<role-name>super</role-name>
<principal-name>super</principal-name>
</security-role>
</assembly-descriptor>
</jboss> [/color]
4.2 写一个servlet(LoginServlet)访问该ejb.
Properties pro = System.getProperties();
pro.setProperty(Context.INITIAL_CONTEXT_FACTORY, "org.jnp.interfaces.NamingContextFactory");
pro.setProperty(Context.PROVIDER_URL, "jnp://localhost:1099");
Context con = new InitialContext(pro);
Object obj = con.lookup("BookService");
BookRemoteHome home = (BookRemoteHome)PortableRemoteObject.narrow(obj, BookRemoteHome.class);
BookRemoteObject bookService= home.create();
System.out.println("Create home successfully!");
. . .只贴点关键代码
4.3 部署ejb和web应用,启动JBoss,访问web时需要jaas登陆,访问LoginServlet时调用ejb则会使用ejb的jaas的检验。
5.当然jaas允许编写自定义的login module,总的说来就是:
实现LoginModule接口,实现其中的initilize(),login() . . . 方法;
实现 CallbackHandler接口,实现其中的handle()方法;
实现Principal接口。
6.仍然有疑问,留待以后考虑:
6.1客户端直接访问,譬如eclipse访问该EJB总是会报principal不匹配(No matching username found in Principals),只有在web登陆后才可以正常访问需要授权的EJB。客户端不能利用
pro.setProperty(Context.SECURITY_PRINCIPAL, "xxx”)
pro.setProperty(Context.SECURITY_CREDENTIALS, "xxx”)
的方式访问?
6.2 JBoss4.0.0设置ejb的jaas时,总会是报有princpal不存在的异常,换成4.0.5GA就可以,奇怪哉?
至此完了,比较粗略,第一次纪录自己的体会不容易啊。