关于Jaas的探讨

最新推荐文章于 2024-05-07 10:02:24 发布
最新推荐文章于 2024-05-07 10:02:24 发布
阅读量430 收藏 3
点赞数
分类专栏: Java 文章标签: Jaas 安全

这两天根据需要,从Oracle 上阅读了整篇关于Jaas技术的详情,这里对Jaas进行了整理。

Jaas主要负责的是 Authentication 和 Authorization。主要分为三个部分:

Common公共部分,Authentication 部分以及 Authorization 部分。

Common公共部分主要是Subject,Principal,Credential。

Subject :

在授权之前,需要对请求的来源加以认证,Jaas定义了Subject表示请求的来源。一旦Subject认证成功,将会在Subject中增加相关的身份信息或者是Principal。一个Subject会有多个Principal,例如一个人可以有名字的Principal,或者身份的Principal。Subject也有与自己相关的安全属性称之为Credential。加密的私钥被存储在私有证书集合中,而公钥证书存储在公钥证书集合中,访问和修改不同证书的集合需要不同的权限。

Principal :

如上所说,当一个Subject认证成功,Principal将会关联到这个Subject。Principal表示Subject的身份表示,必须要实现 java.security.Principal 和 java.io.Serializable 接口。Subject section 描述了更新Principal关联到subject的方法。

Credential :

并不是主要的Jaas代码,任何类可以表示为Credential,并需要实现Credential的两个接口Refreshable和Destroyable。

Authentication 部分:

验证一个Subject需要如下的步骤:

1.应用程序初始化一个LoginContext实例。

2.LoginContext查阅Configuration以加载为该应用配置的所有LoginModule。

3.应用程序调用LoginContext的login方法。

4.login方法调用所有加载的LoginModule方法,每个LoginModule尝试验证Subject。成功后LoginModule会把Principal和Credential与被验证的Subject关联到一起。

5.LoginContext将认证的状态返回给应用程序。

6.如果认证成功,应用程序将从LoginContext中检索出Subject。


LoginModule :

LoginModule接口为开发人员提供了实现不同种类身份验证技术的能力,这些技术可以在应用程序中插入。

CallbackHandler :


Callback :

Authorization部分:

授予访问控制权限不仅基于哪些代码正在运行,还取决于谁在它下面运行,以下是必须的:

用户必须经过身份验证,如LoginContext部分所述。

如Subject部分所述,身份验证结果的Subject必须与访问控制上下文相关联。

必须在安全策略中配置基于委托人的条目。


以下根据说明文档创建了一个Jaas的示例程序,程序目录如下:





Fairy的尾巴
关注
专栏目录
jaas详细配置精讲
09-07
jaas详细配置精讲 tomcat web.xml
Java安全——JAAS
多头注意力探索Now
07-13 1230
JAAS框架认识理解
Java认证与授权服务JAAS基础概念
不见其长,日有所长
07-07 2052
1. 前言 JAAS是”Java Authentication and Authorization Service“的缩写,它提供了认证与授权的基础框架与接口定义,而且提供了良好的插件化机制。本文主要探讨JAAS的基础概念,这些概念也是认证与授权技术中的常用概念。 2. Subject 如果要授权访问一些资源,需要先对资源请求主体进行认证。JAAS框架中,使用Subject来描述这个资源请求主体与安全访问相关的信息,因此,一个Subject通常是指一个对象实体,或者一个服务。 Subject中所关联的信息,
JAAS 是个什么梗
Microstrong
12-13 3232
转载地址:https://www.cnblogs.com/youxia/p/java006.html 参考资料 该文中的内容来源于 Oracle 的官方文档。Oracle 在 Java 方面的文档是非常完善的。对 Java 8 感兴趣的朋友,可以从这个总入口 Java SE 8 Documentation 开始寻找感兴趣的内容。本博客不定期从 Oracle 官网搬砖。这一篇主要讲
JAAS介绍
成长是一个持续的过程
07-13 3910
JAAS介绍 1、JAAS是什么? JAAS---Java Authentication Authorization Service(JAAS,Java验证和授权服务)。 2、JAAS背景 从早期所谓的 Java 沙箱到 JDK 1.4 引入的健壮的、全功能的安全体系结构,安全性一直是 Java 平台的基本组件。从那时到现在,Java 语言的设计者收到了来自团体的大量关于安全
JAAS.rar_jaas
09-24
描述中提到“可以参考参考,很不错的解决方案”,意味着这个压缩包可能包含了一个实用的JAAS SSO实现,或者是一系列关于如何利用JAAS构建SSO的教程和指南。"sample"这个文件名可能表示有示例代码或配置文件,这对于...
关于JAAS的一些学习资料
04-22
在这个关于JAAS的学习资料中,我们将探讨如何使用JAAS实现一个简单的登录模块。 首先,我们看到一个名为"simp.config"的文件,这通常是JAAS配置文件。在JAAS中,配置文件定义了认证系统的行为,包括用于认证的模块...
jaas规范实现代码
01-30
在本文中,我们将深入探讨 JAAS 的核心概念、工作原理以及如何通过代码实现来理解这个规范。 首先,让我们了解一下 JAAS 的基本概念: 1. **身份验证(Authentication)**:这是确定用户身份的过程,通常通过...
JAAS简介及实例
03-01
标题“JAAS简介及实例”表明我们将探讨JAAS的基本概念、工作原理,以及如何通过一个实际的示例来应用它。JAAS主要由以下几个组件组成: 1. **登陆模块(Login Module)**:这是JAAS的核心,负责进行用户身份验证。...
JAAS学习笔记
03-22
这篇学习笔记将深入探讨JAAS的工作原理、配置以及在实际应用中的使用。通过阅读"JAAS学习笔记.doc"和"Weblogic Security Provider学习笔记.docx",我们可以更全面地了解这个主题。 1. **JAAS概述**: - JAAS是Java...
JAAS使用
zc0565的博客
11-05 4740
简介 Java 验证和授权服务(Java Authentication Authorization Service,简称 JAAS)是 Java 在 JDK 1.4 引入的安全框架。JAAS 提供了一种灵活的、说明性机制,用于对用户进行身份验证和服务访问的授权。 JAAS 是一种可插拔的认证模块( Pluggable Authentication Module,PAM )的安全体系结构。这意味着可...
JAAS(Java 认证和授权服务)
atarik@163.com
02-26 954
传统的JAVA安全机制没有提供必要的架构支持传统的认证和授权;在J2SE里的安全是基于公钥密码体系和代码签名。也就是说,认证是基于在JVM里执行代码的思想,并且没有对资源请求提供策略。而且授权也是基于这样的概念--代码试图去使用一个计算机资源。Java认证和授权服务(JAAS)也就被设计成去应付这些缺点。 JAAS使用基于用户的的访问控制增加了这个已经存在的基于代码的访问控制机制,也提高了认证能力...
JAAS:灵活的Java安全机制
oicqren的专栏
11-24 1574
  Java Authentication Authorization Service(JAAS,Java验证和授权API)提供了灵活和可伸缩的机制来保证客户端或服务器端的Java程序。Java早期的安全框架强调的是通过验证代码的来源和作者,保护用户避免受到下载下来的代码的攻击。JAAS强调的是通过验证谁在运行代码以及他/她的权限来保护系统面受用户的攻击。它让你能够将一些标准的安全机制,例如S
JAAS 认证过程
atarik@163.com
02-26 754
本文通过一个示例说明 JAAS Authentication 过程。 运行示例 运行示例分三步: 获取代码,编译代码,运行示例 获取代码 $ git clone git@github.com:kylinsoong/security-examples.git 编译代码 $ cd security-examples/jaas-authentication-tutorial $ mvn...
JAAS 是 Java Authentication and Authorization Service 的缩写,是 Java 的一个安全框架
最新发布
BLOG域名:programb.blog.csdn.net
05-07 828
通过 JAAS,应用程序可以使用多种不同的身份验证技术来验证用户的身份,例如用户名和密码、数字证书、生物特征等,同时也可以使用多种不同的授权技术来控制用户对系统资源的访问权限。因此,更安全的方法是使用一些更强大的加密算法,如bcrypt和scrypt,这些算法具有更高的复杂度和更高的加密强度,可以有效地保护密码不被攻击者获取。3.基于策略的授权(Policy-Based Authorization):在系统级别上授权,指定哪些用户或角色可以访问哪些资源,是 JAAS 中最重要的授权机制。
JAAS概述以及Jboss安全性配置
工作点滴
05-25 1088
Java 鉴别与授权服务(JAASJAAS(Java Authentication and Authorization Service)可以在Java 平台上提供用户身份鉴别。在Java 平台上,其功能是独一无二的。 Java 安全设计的所有核心功能都是为了保护终端用户不受程序开发者的影响,由于终端用户为了使用开发者提供的程序,不得不满足其对本地资源的存取要求,这就要求 必须保证用户不受到
Hadoop安全模式+JAAS原理及实现
tian的博客
07-05 946
1. Authentication kerberos 2. Proxy user 3. Secure DataNode Because the DataNode data transfer protocol does not use the Hadoop RPC framework, DataNodes must authenticate themselves using...
使用JAAS框架和LDAP做验证(Authentication)、授权(Authorization)
oicqren的专栏
11-27 6590
前言:网上很多文章都在讲LDAP Server,但是很少有人提及如何使用它来做验证和授权,今天写出此贴,希望能够帮助各位开发人员。目标:使用JAAS框架,使用Struts框架,使用LDAP Server,使用JBOSS,做用户的验证和授权(验证的含义是用户有效,即用户名、密码输入正确;授权的含义是用户被授予某种角色)基础要求:精通J2EE框架会使用Struts开发能够正确安装iPlanet
JAAS(Java 认证和授权服务)开发指南
lyb520320的博客
07-24 177
本文翻译自:[url]http://java.sun.com/developer/technicalArticles/Security/jaasv2/[/url] 传统的JAVA安全机制没有提供必要的架构支持传统的认证和授权;在J2SE里的安全是基于公钥密码体系和代码签名。也就是说,认证是基于在JVM里执行代码的思想,并且没有对资源请求提供策略。而且授权也是基于这样的概念--代码试图去使用一...
EJB容器中的安全机制优化与JAAS应用
本文主要探讨了EJB容器中的安全机制及其在Java 2 Enterprise Edition (J2EE)背景下的重要性。随着互联网和网络技术的发展,EJB(Enterprise JavaBeans)作为Java在企业级应用的核心组件,其安全性需求日益突出。传统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值