Jetspeed基于jaas的权限机制

最新推荐文章于 2018-11-07 17:11:03 发布
最新推荐文章于 2018-11-07 17:11:03 发布
阅读量116 收藏
点赞数
分类专栏: Jetspeed 文章标签: 数据库 安全架构 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_6930/article/details/82442247
版权

Jetspeed基于jaas的权限机制

Jetspeed的权限有两种constraint和permission方式

其中Jetspeed的认证是基于jaas的loginModule实现的,所以这里说是基于jaas的权限机制

 

constraint和permission的区别

授权方式不一样

constraint是基于资源授权的:

优点:基于资源授权简单,选中一个页面或目录就可以授权

缺点:可授权的地方过于分散,因为页面,portlet是在不同的模块

permission是基于角色授权的

优点:在一个模块可统一对页面、portlet等资源统一授权

缺点:授权麻烦一点,先选中角色,再授权,没有基于资源授权简单,模型层和数据库是这么设计,但是前台展现还是按照资源授权

 

 

或许Jetspeed本觉得portal里面有不同资源,每个资源又有自己的管理模块 ,所以最终前台展现是按照资源来授权

 

 

constraint和permission原理

我目前的理解是,他们原理都一样

 

 

先找到一个资源以及它的父亲授予了哪些权限resourcePermission,然后检查当前用户有哪些权限userPermisson(即当前用户拥有的角色,所属群组等principal),最后检查这两个权限是否有交集,有就可访问,反之,则不可访问

 

对了,Jetspeed说它的权限模块式可插拔的,因为我已经看到spring的配置中可选择按constraint或者permission检查权限,有空多研究

 

constraint主要研究代码

 

SecurityAccessController.checkPortletAccess(PortletDefinition portlet, int mask){}

 

 

 

public boolean checkPortletAccess(PortletDefinition portlet, int mask)
    {
        if (portlet == null)
            return false;
        if (securityMode == SecurityAccessController.CONSTRAINTS)
        {
            String constraintRef = portlet.getJetspeedSecurityConstraint();
            if (constraintRef == null)
            {
                constraintRef = ((PortletApplication)portlet.getApplication()).getJetspeedSecurityConstraint();                
                if (constraintRef == null)
                {
                    return true; // allow access
                }
            }
            String actions = JetspeedActions.getContainerActions(mask);
            return pageManager.checkConstraint(constraintRef, actions);                
        }
        else
        {
            try
            {
                AccessController.checkPermission((Permission)pf.newPermission(pf.PORTLET_PERMISSION,portlet.getUniqueName(), mask));
            }
            catch (AccessControlException ace)
            {
                return false;
            }
            return true;
        }
    
    }

 

 

 

permission主要研究代码

 

 

AccessController.checkPermission((Permission)pf.newPermission(pf.PORTLET_PERMISSION,portlet.getUniqueName(), mask));}

 

 

 

这个代码AccessController.checkPermission()是jaas的代码,看来permission机制使用了jaas来实现,调试代码,去吧

 

jetspeed中的安全架构完全遵照Jaas实现

详细设计很值得推敲,要加油罗:

http://portals.apache.org/jetspeed-2/devguide/guide-security.html

 

 

设计思想


Jetspeed的安全模块,建立在JAAS之上,实现了验证和授权两大模块。建议学习本模块前,需要结合JAAS的知识来理解。
(1) Jaas的验证流程
Jetspeed基于JAAS的验证流程,如流程图所以,Jetspeed的验证过程是标准的jaas验证,只不过Jetspeed实现了自己的loginModule:org.apache.jetspeed.security.impl.DefaultLoginModule
(2) Jetspeed基于JAAS的授权流程

Jetspeed的permission授权机制,本质上也使用了Jaas的授权机制,以页面渲染portlet为例子,JAAS权限检查

的具体步骤如下:

  • 引擎调用PageAggregator.aggregateAndRender()渲染portlet
  • 检查portlet权限SecurityAccessController.checkPortletAccess()
  • 通过Jaas的机制判断portlet权限AccessController.checkPermission(Permission portletPermission)
  • 调用jetspeed自定义策略从保护域中检查是否拥有权限RdbmsPolicy.implies(ProtectionDomain protectionDomain, Permission permission
  • 从数据库获取当前用户拥有的所有权限,检查这些权限是否隐含该portlet的访问权限
  • 如果返回true,渲染portlet,如果返回false,没有权限,不渲染portlet
iteye_6930
关注
专栏目录
Jetspeed安全模块-JAAS
iteye_6930的博客
04-06 85
J2使用JAAS安全模块介绍 http://portals.apache.org/jetspeed-2/devguide/atn.html
Jetty配置jaas访问权限以及密码
u012653518的专栏
04-21 3900
jetty 权限控制 jaas login-config 服务器
Jetspeed2.0的安全机制
王浩的技术博客
08-23 2666
       Jetspeed2.0的安全架构为保护门户内的各种资源提供了一套广泛的安全服务。这套安全服务是完全独立于其他的门户服务,甚至可以从门户应用中抽取出来。这套机制的核心部分是依靠JAAS提供的认证,授权功能。Jetspeed2.0的安全服务是建立在一套安全模块和扩展安全模块上的,并提供了一个SPI模型。通过修改和配置特定的处理方式,使用这个SPI模型可以修改系统内部提供的一些安全服务(比
JAAS简介及实例
困难户
01-22 541
JAAS是对JCE安全框架的重要补充,通过提供认证用户和确定用户授权来增强JAVA解决方案的动态安全性,使得资源能够得到很好得到保护和控制(JAAS使用动态的安全策略来定义权限,而不是将其静态的嵌入到代码中)。 JAAS采用的是插件的运行方式,一开始就被设计成可插拔的(Pluggable),根据应用的需要,只要配置一下JAAS的配置文件,这些组件即可包含 在我们的应用程序中。使用JAAS包接口,开...
基于JAAS实现登录
小晖Allen的专栏
12-21 866
JAASJava Authentication and Authorization Service,提供了认证和授权框架。本例是认证的实现,JAAS定义了可插拔的认证机制,使认证逻辑独立开来,可通过修改配置文件切换认证模块。官方参考:http://java.sun.com/products/archive/jaas/http://java.sun.com/j2se/1.4.2/docs/
基于JETSPEED的多portlet流程协作机制研究与实现
04-10
### 基于JETSPEED的多Portlet流程协作机制研究与实现 #### 摘要及背景 本文探讨了基于JetSpeed的多Portlet流程协作机制的研究与实现。随着互联网技术的发展,门户系统不再仅仅作为信息展示的平台,而是逐渐演变为...
Jetspeed
04-15
总结一下,Jetspeed 是一个基于Java的开源门户平台,它利用源码和工具提供高度定制化的Web门户解决方案。通过与LDAP的集成,Jetspeed 实现了安全的身份管理和权限控制。理解其源码、工具的使用以及LDIF文件的作用,...
基于jetspeed的portlet开发
07-01
### 基于Jetspeed的Portlet开发 #### 一、引言 随着信息技术的不断发展,企业对于信息的集成管理需求日益增长。门户系统作为整合各类应用与信息资源的重要手段,已经成为众多企业的首选方案。门户系统能够根据用户...
JetSpeed-2:基于Spring的portlet容器解析
Jetspeed2的安全机制确保了用户访问控制和内容过滤,它能够管理用户的权限和角色,以保护门户中的敏感信息。此外,Jetspeed2还支持与多种应用程序集成,如Struts、WebWork、JSP、PERL和PHP,扩展了门户的功能范围。 ...
jetspeed2
03-26
同时,具备强大的权限管理机制,可以控制不同用户对portlet的访问和操作权限。 3. **内容管理系统**:内置的内容管理系统(CMS)允许用户创建、编辑和发布内容,且与portlet集成,提供了丰富的内容展示方式。 4. **...
Tomcat jaas 配置
u011233087的专栏
03-02 997
Tomcat下的认证授权配置
maven用jetty启动工程
yeqingyun2012的博客
07-19 693
1、右键工程,点击run as ,点击maven build..,配置参数如下所示,以后启动就只要用run as 下的maven build就行了。 2、配置参数 在Goals中输入:jetty:run 在profiles中输入:-Pdev
Jetty -- 安全认证 -- 三种配置方法
华天下
08-18 1507
How to Configure Security with Embedded Jetty This example shows you how to setup web application security programmatically. Firstly, we'll look at how to do it if you use a web.xml file to declare y...
Jetty:配置安全
热门推荐
宁静致远
07-10 1万+
用${jetty.home}和${jetty.base}配置安全 Jetty 9.1中:  1)${jetty.home}是jetty发布(二进制)的目录路径;  2)${jetty.base}是用户定制化的目录路径。 这样分化:  1)允许你管理多个Jetty安装;  2)当你升级Jetty后,更容易保留你当前的配置。 更多的信息在后面讲《启动Jetty》时会详述。 而且,Jet
Spring Security 入门详解
HiBoyljw的博客
11-07 1789
Spring Security 入门详解   1.Spring Security介绍 Spring Security是基于spring的应用程序提供声明式安全保护的安全性框架,它提供了完整的安全性解决方案,能够在web请求级别和方法调用级别 处理身份证验证和授权.它充分使用了依赖注入和面向切面的技术.   Spring security主要是从两个方面解决安全性问题: web请求级别:...
JAAS
tancaiyi的专栏
03-09 6536
    Java平台是创建企业应用程序的普遍选择。它所以受欢迎,主要原因之一是在创建Java语言时充分考虑了安全性,而且市场上也普遍认为Java是一种"安全的"语言。Java平台在两个层次上提供安全性:语言层次安全性和企业层次安全性。1.语言层次安全性最初的Java(JDK1.2)平台采用沙箱安全模型,基本安全模型由三部分来承担,这三部分构成Java运行环境的三个安全组件,分别是:类加载器,文件校
JAAS 是个什么梗
Microstrong
12-13 3255
转载地址:https://www.cnblogs.com/youxia/p/java006.html 参考资料 该文中的内容来源于 Oracle 的官方文档。Oracle 在 Java 方面的文档是非常完善的。对 Java 8 感兴趣的朋友,可以从这个总入口 Java SE 8 Documentation 开始寻找感兴趣的内容。本博客不定期从 Oracle 官网搬砖。这一篇主要讲
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值