简单的基于JAAS实现登录

最新推荐文章于 2024-03-13 11:01:55 发布
最新推荐文章于 2024-03-13 11:01:55 发布
阅读量206 收藏
点赞数
分类专栏: Windows 集成身份验证 文章标签: Security Java 应用服务器 J2SE 网络应用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/janusdo/article/details/83526376
版权

在贴出windows集成认证代码之前,先用一个简单的例子来介绍JAAS。

 

      Java Authentication Authorization Service(JAAS,Java验证和授权API)提供了灵活和可伸缩的机制来保证客户端或服务器端的Java程序。Java早期的安全框架强调的是通过验证代码的来源和作者,保护用户避免受到下载下来的代码的攻击。JAAS强调的是通过验证谁在运行代码以及他/她的权限来保护系统面受用户的攻击。它让你能够将一些标准的安全机制,例如Solaris NIS(网络信息服务)、Windows NT、LDAP(轻量目录存取协议),Kerberos等通过一种通用的,可配置的方式集成到系统中。

   

      你是否曾经需要为一个应用程序实现登录模块呢?如果你是一个比较有经验的程序员,相信你这样的工作做过很多次,而且每次都不完全一样。你有可能把你的登录模块建立在Oracle数据库的基础上,也有可能使用的是NT的用户验证,或者使用的是LDAP目录。如果有一种方法可以在不改变应用程序级的代码的基础上支持上面提到的所有这一些安全机制,对于程序员来说一定是一件幸运的事。

  

       现在你可以使用JAAS实现上面的目标。JAAS是一个比较新的的Java API。在J2SE 1.3中,它是一个扩展包;在J2SE 1.4中变成了一个核心包。在本文中,我们将介绍JAAS的一些核心概念,然后通过例子说明如何将JAAS应用到实际的程序中。本文的例子是根据我们一个基于Web的Java应用程序进行改编的,在这个例子中,我们使用了关系数据库保存用户的登录信息。由于使用了JAAS,我们实现了一个健壮而灵活的登录和身份验证模块。

 

客户端和服务器端的JAAS   

 

      开发人员可以将JAAS应用到客户端和服务器端。在客户端使用JAAS很简单。在服务器端使用JAAS时情况要复杂一些。目前在应用服务器市场中的 JAAS产品还不是很一致,使用JAAS的J2EE应用服务器有一些细微的差别。例如JBossSx 使用自己的结构,将JAAS集成到了一个更大的安全框架中;而虽然WebLogic 6 .x也使用了JAAS,安全框架却完全不一样。  

 

      现在你能够理解为什么我们需要从客户端和服务器端的角度来看JAAS了。我们将在后面列出两种情况下的例子。为了使服务器端的例子程序更加简单,我们使用了Resin应用服务器。  

 

核心JAAS类  

 

      在使用JAAS之前,你首先需要安装JAAS。在J2SE 1.4中已经包括了JAAS,但是在J2SE 1.3中没有。如果你希望使用J2SE 1.3,你可以从SUN的官方站点上下载JAAS。当正确安装了JAAS后,你会在安装目录的lib目录下找到jaas.jar。你需要将该路径加入 Classpath中。(注:如果你安装了应用服务器,其中就已经包括了JAAS,请阅读应用服务器的帮助文档以获得更详细的信息)。在Java 安全属性文件java.security中,你可以改变一些与JAAS相关的系统属性。该文件保存在<jre_home>/lib/security目录中。

 

在应用程序中使用JAAS验证通常会涉及到以下几个步骤:  

 

1. 创建一个LoginContext的实例。  

 

2. 为了能够获得和处理验证信息,将一个CallBackHandler对象作为参数传送给LoginContext。  

 

3. 通过调用LoginContext的login()方法来进行验证。  

 

4. 通过使用login()方法返回的Subject对象实现一些特殊的功能(假设登录成功)。

 

 

下面是一个简单的例子

 

1. 配置文件(假设为D:\login.config):

 

com.demo {  
       com.demo.SimpleLoginModule required debug = true;  
};

 

 

2.SimpleLogin.java

 

package com.demo;

import javax.security.auth.login.LoginContext;
import javax.security.auth.login.LoginException;

public class SimpleLogin 
{
	public static void main(String[] args) 
	{
		LoginContext loginContext = null;
		try 
		{
			System.setProperty("java.security.auth.login.config", "D:\\login.config");
			loginContext = new LoginContext("com.demo", new SimpleCallbackHandler());
			loginContext.login();
		} 
		catch (LoginException e) 
		{
			System.out.println(e.getMessage());
		}
	}
}

 

 

3.SimpleLoginModule.java

 

package com.demo;

import java.io.IOException;
import java.util.Map;

import javax.security.auth.Subject;
import javax.security.auth.callback.Callback;
import javax.security.auth.callback.CallbackHandler;
import javax.security.auth.callback.NameCallback;
import javax.security.auth.callback.PasswordCallback;
import javax.security.auth.callback.UnsupportedCallbackException;
import javax.security.auth.login.LoginException;
import javax.security.auth.spi.LoginModule;

public class SimpleLoginModule implements LoginModule 
{
	private String userName;

	private char[] password;

	private Subject subject;

	private CallbackHandler callbackHandler;

	private Map sharedState;

	private Map options;

	private String debug;

	public boolean abort() throws LoginException {
		System.out.println("abort()");
		return false;
	}

	public boolean commit() throws LoginException {
		System.out.println("commit()");
		return false;
	}

	public void initialize(Subject subject, CallbackHandler callbackHandler, Map sharedState, Map options) 
	{
		this.subject = subject;
		this.callbackHandler = callbackHandler;
		this.sharedState = sharedState;
		this.options = options;
		debug = (String) options.get("debug");
	}

	public boolean login() throws LoginException 
	{
		Callback[] callbacks = new Callback[2];
		callbacks[0] = new NameCallback("用户名: ");
		callbacks[1] = new PasswordCallback("密码: ", false);

		try
		{
			callbackHandler.handle(callbacks);
			userName = ((NameCallback) callbacks[0]).getName();
			password = ((PasswordCallback) callbacks[1]).getPassword();

			if (debug.equals("true")) 
			{
				System.out.println("你输入的用户名为:" + userName);
				System.out.println("你输入的密码为:" + new String(password));
			}

			if (userName.equals("dudd") && new String(password).equals("11111111")) 
			{
				System.out.println("验证成功");
				return true;
			}
			else 
			{
				System.out.println("验证失败");
				userName = null;
				password = null;
			}
		} 
		catch (IOException e) 
		{
			e.printStackTrace();
		} 
		catch (UnsupportedCallbackException e) 
		{
			e.printStackTrace();
		}

		return false;
	}

	public boolean logout() throws LoginException 
	{
		System.out.println("logout()");
		return false;
	}
}

 

 

4.SimpleCallbackHandler.java

 

package com.demo;

import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import javax.security.auth.callback.Callback;
import javax.security.auth.callback.CallbackHandler;
import javax.security.auth.callback.NameCallback;
import javax.security.auth.callback.PasswordCallback;
import javax.security.auth.callback.UnsupportedCallbackException;

public class SimpleCallbackHandler implements CallbackHandler 
{
	public void handle(Callback[] callbacks) throws IOException, UnsupportedCallbackException 
	{
		for (Callback callback : callbacks) 
		{
			if (callback instanceof NameCallback) 
			{
				NameCallback nc = (NameCallback) callback;
				System.out.print(nc.getPrompt());
				System.out.flush();
				nc.setName((new BufferedReader(new InputStreamReader(System.in))).readLine());
			} 
			else if (callback instanceof PasswordCallback) 
			{
				PasswordCallback pcb = (PasswordCallback) callback;
				System.out.print(pcb.getPrompt());
				System.out.flush();
				pcb.setPassword((new BufferedReader(new InputStreamReader(System.in))).readLine().toCharArray());
			}
		}
	}
}

 

在运行这段代码时,后台进行了以下的工作。 

 

1. 当初始化时,LoginContext对象首先在JAAS配置文件中找到com.demo 项,然后根据该项的内容决定该加载哪个LoginModule对象。

  

2. 在登录时,LoginContext对象调用每个LoginModule对象的login()方法。  

 

3. 每个login()方法进行验证操作或获得一个CallbackHandle对象。   

 

4. CallbackHandle对象通过使用一个或多个CallBack方法同用户进行交互,获得用户输入。  

 

 5. 向一个新的Subject对象中填入验证信息。  

 

janusdo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JAAS登录验证文档,里面有详细步骤及例子
07-22
JAAS登录验证文档,里面有详细步骤及例子;亲测使用中,希望用jaas的朋友能帮助到大家;
利用JAAS实现简单的页面验证与授权
05-23
### 利用JAAS实现简单的页面验证与授权 #### JAAS简介 Java Authentication and Authorization Service (JAAS) 是 Java 平台提供的一种安全框架,它主要用于实现应用级别的身份验证和授权服务。JAAS 的出现是对 ...
基于JAAS实现登录
小晖Allen的专栏
12-21 852
JAASJava Authentication and Authorization Service,提供了认证和授权框架。本例是认证的实现JAAS定义了可插拔的认证机制,使认证逻辑独立开来,可通过修改配置文件切换认证模块。官方参考:http://java.sun.com/products/archive/jaas/http://java.sun.com/j2se/1.4.2/docs/
JAAS简介及实例
困难户
01-22 532
JAAS是对JCE安全框架的重要补充,通过提供认证用户和确定用户授权来增强JAVA解决方案的动态安全性,使得资源能够得到很好得到保护和控制(JAAS使用动态的安全策略来定义权限,而不是将其静态的嵌入到代码中)。 JAAS采用的是插件的运行方式,一开始就被设计成可插拔的(Pluggable),根据应用的需要,只要配置一下JAAS的配置文件,这些组件即可包含 在我们的应用程序中。使用JAAS包接口,开...
安全:JAAS LoginModule
jredfox
04-29 473
原文:http://www.hibernate.org/139.html 译者:jredfox Java认证和授权API(JAAS)为应用程序处理用户的认证和授权问题提供了标准方式。很多人在Unix/Linux系统中比较JAAS和PAM模块。 本文不对JAAS进行详细的讨论,但给大家简单的介绍一下。在JAAS架构中,当用户登录系统时,系统给用户一个Subject,Subject中包含有一...
基于JAAS的用户验证和控制模型的一般设计.doc
06-20
本文将深入解析基于JAAS的用户验证和控制模型的一般设计,以及它如何帮助实现安全的用户登录和权限管理。 首先,JAAS的核心组件是`LoginContext`,它作为应用程序与JAAS框架之间的接口。`LoginContext`提供了一个...
基于JAAS的身份安全认证系统设计与应用 (2006年)
05-20
### 基于JAAS的身份安全认证系统设计与应用 #### 概述 随着互联网技术的发展,网络安全成为了不可忽视的问题之一。特别是在开放的Internet环境中,如何确保用户的身份认证及授权信息的安全性和一致性变得尤为重要...
JAAS登录验证文档
07-22
与传统的基于容器的身份验证不同,JAAS提供了更为灵活和强大的机制来处理用户的身份验证。 #### 二、JAAS配置文件及设置 在JAAS中,配置文件是非常重要的组成部分之一,因为它包含了进行身份验证所必需的信息。...
基于JAASJava安全编程
11-03
### 基于JAASJava安全编程 #### JAAS概览 JAASJava Authentication and Authorization Service,Java认证与授权服务)是Sun Microsystems为Java 2平台开发的一套安全框架扩展,旨在Java应用程序的安全性。...
java jaas_基于JAAS实现登录
weixin_33130645的博客
02-18 171
importjava.io.IOException;importjava.util.Map;importjavax.security.auth.Subject;importjavax.security.auth.callback.Callback;importjavax.security.auth.callback.CallbackHandler;importjavax.security.auth...
JAAS
半支香烟
09-11 515
项目中用到了JAAS,以前没有接触过,google了半天资料。赶快纪录下来: 1.JAAS全称为Java authentication and authorization service,用于设计可拔插的安全机制。一般项目中用在web端或ejb访问控制。 2.直接以例子进行(基于JBoss4.0.0): 2.1 首先确定需要以何种方式进行验证,文件/数据库/LDAP。目前的...
开发安全应用程序(五)-- 使用 JAAS 进行开发以使用程序来进行登录
懒散狂徒的专栏
07-26 3330
 使用 JAAS 进行开发以使用程序来进行登录Java 认证和授权服务”(JAAS)是 WebSphere Application Server V5 中的一项新功能。此功能也是“J2EE 1.3 规范”所要求的。“Java 认证和授权服务”代表的是用于进行认证的策略性 API,它替换了 CORBA 程序登录 API。另外,WebSphere Application Server 提供了一些 J
Java开源Saas开发框架+Activiti流程管理=JSAAS
u013604967的博客
07-22 4176
1.SAAS云应用场景 SAAS云应用近几年来越来越火,这得益于国内云计算的基础设施的发展,如以前我们开发应用所需要的硬件计算资源、平台的操作系统、互联网IP、带宽及域名等,均可以非常有效解决了,企业建设应用或平台,不再需要考虑如何购买这些资源,我们仅需要通过在阿里或腾讯那里购买到这种云服务器即可,这些资源的使用及付费已经做到像交水费及电费那样简单。而现在唯一需要考虑的是在这些云计算资源上如...
企业需要使用SaaS的5个原因
最新发布
雪兽软件
03-13 566
在这个数字时代,我们能够与基于云的技术或所谓的SaaS连接。软件即服务(SaaS)允许企业在个人或公司中运行各种活动。该软件使企业能够获得最大的服务,同时我们可以减少设备维护成本。让我们在本文中了解更多关于SaaS的信息。
Jaas demo 登陆验证
zhang100jie的博客
11-09 164
JAAS的核心类和接口可以被分为三种类型,大多数都在javax.security.auth包中。在J2SE 1.4中,还有一些接口的实现类在com.sun.security.auth包中,如下所示: 1、 普通类 Subject,Principal,Credential(凭证)  Subject类代表了一个验证实体,它可以是用户、管理员、Web服务,设备或者其他的过程。该类包含了三中类...
JAAS:灵活的Java安全机制
oicqren的专栏
11-24 1568
  Java Authentication Authorization Service(JAASJava验证和授权API)提供了灵活和可伸缩的机制来保证客户端或服务器端的Java程序。Java早期的安全框架强调的是通过验证代码的来源和作者,保护用户避免受到下载下来的代码的攻击。JAAS强调的是通过验证谁在运行代码以及他/她的权限来保护系统面受用户的攻击。它让你能够将一些标准的安全机制,例如S
用*.config文件配置JAAS的LoginModules
纸上得来终觉浅,绝知此事要躬行
03-30 8252
首先编写一个jaas.config文件,内容视你的*LoginModules而定。 simple { com.boonya.demo.business.security.SimpleLoginModule required debug=true; };
JAAS入门实战:配置与Demo实例解析
3. **关键类与接口**:登录上下文(LoginContext)、配置文件(Configuration)、登录模块(LoginModule)、回调处理器(CallbackHandler)和回调(Callback)是JAAS实现身份验证的核心组件。Java 2 Policy文件也是不可或缺...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值