【JBoss】3. JBoss SX安全框架

最新推荐文章于 2022-04-20 15:03:36 发布
最新推荐文章于 2022-04-20 15:03:36 发布
阅读量1.6k 收藏
点赞数 1
分类专栏: 【JBoss】 文章标签: JBoss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vking_wang/article/details/8777667
版权

JBoss SX

JBoss使用JBoss SX框架来确保应用程序安全。它建立在Java身份验证和授权服务的顶层(JAAS,Java Authentication and Authorization Service)。

当JBoss接收到请求时,目标应用程序不需要知道基本安全数据库的位置或访问方式;

请求被传递到名为“安全域”的JBoss SX组件中,这是一种用来保护所有对组件的球球的抽象;

安全域执行所有必要的安全检查并告知组件用户可否继续进行访问,安全域知道如何使用一个或多个登录模块从数据源加载安全数据;


安全域

可以在server/x/conf/login-config.xml中添加或更改现有安全域定义。

<application-policy>定义一个安全域,JBoss SX根据name生成JNDI上下文,并使用该上下文将安全域绑定到JNDI中;

<login-module>定义登录模块,登录模块可以从属性文件、或数据库中加载安全信息(密码、角色)。


<!--application-policy:定义安全域-->
<application-policy name="authnservice">
  <authentication>
    <!--login-module:定义登录模块-->
    <login-module code="com.alpha.security.authentication.TokenLoginModule" flag="required"/>
    <login-module code="com.alpha.security.authentication.LockedAccountLoginModule" flag="required">
       <module-option name="dsJndiName">java:/OracleDS</module-option>
       <module-option name="lockingQuery">
          SELECT 。。。
       </module-option>
       <module-option name="updateLocked">
          UPDATE USER 。。。
       </module-option>
       <module-option name="updateFailLoginCount">
          UPDATE USER 。。。
       </module-option>
    </login-module>
    <login-module code="com.alpha.security.authentication.TokenServiceLoginModule" flag="required">
       <module-option name="unauthenticatedIdentity">guest</module-option>
       <module-option name="dsJndiName">java:/OracleDS</module-option>
       <module-option name="hashAlgorithm">SHA-1</module-option>
       <module-option name="hashEncoding">hex</module-option>
       <module-option name="principalsQuery">
                select PASSWORD
		from 。。。
      </module-option>
      <module-option name="rolesQuery">
               SELECT Roles FROM ROLE r,。。。
      </module-option>
      <module-option name="password-stacking">useFirstPass</module-option>
      <module-option name="rolePrefix">alpha/</module-option>
      <module-option name="hashCharset">UTF-8</module-option>
   </login-module>
   <login-module code="com.alpha.security.authentication.PasswordExpirationLoginModule" flag="required">
      <module-option name="dsJndiName">java:/OracleDS</module-option>
      <module-option name="passwordQuery">
         select date_of_creation, date_of_expiration
	 from (select pw.*
	  from sec_password pw, sec_user u
		where u.login_name = UPPER(?)
		  and pw.user_id = u.id
		   order by pw.date_of_creation desc)
	  where rownum=1
      </module-option>
      <module-option name="checkEnabledQuery">
          select v.boolean_value
	  from config_key k, config_value v
	   where k.key = 'Options.system.settings.pwExpireEnabled'
		and v.key = k.id
      </module-option>
      <module-option name="checkFirstLoginQuery">
          select v.boolean_value
	  from config_key k, config_value v
	   where k.key = 'Options.system.settings.enableFirstLogin'
		and v.key = k.id
      </module-option>
      <module-option name="passAgeQuery">
          select v.integer_value
	  from config_key k, config_value v
	   where k.key = 'Options.system.settings.pwExpireAge'
		and v.key = k.id
      </module-option>
      <module-option name="notifyPeriodQuery">
          select v.integer_value
	  from config_key k, config_value v
	   where k.key = 'Options.system.settings.pwNotifyPeriod'
		and v.key = k.id
      </module-option>
   </login-module>
   <login-module code="com.alpha.security.authentication.RoleMappingLoginModule" flag="required">
      <module-option name="mapping">
          。。。
      </module-option>
   </login-module>
   <login-module code="com.alpha.security.authentication.TokenCreatingLoginModule" flag="required"/>
</authentication>
</application-policy>

JMX查看安全域

jboss.security - service=XMLLoginConfig


displayAppConfig( "authnservice" )


安全域信息:


登录模块UsersRolesLoginModule

登录模块可以从属性文件、或数据库中加载安全信息(密码、角色)。

前面的例子中,登录模块是自定义的。

JBoss SX提供了多个登录模块,其中UsersRolesLoginModule用于在属性文件中存储用户名和角色信息。

  <application-policy name="JBossWS">
    <authentication>
      <login-module code="org.jboss.security.auth.spi.UsersRolesLoginModule" flag="required">
        <module-option name="usersProperties">props/jbossws-users.properties</module-option>
        <module-option name="rolesProperties">props/jbossws-roles.properties</module-option>
        <module-option name="unauthenticatedIdentity">anonymous</module-option>
      </login-module>
    </authentication>
  </application-policy>

这种登录模块常用于开发和测试。


登录模块DatabaseServerLoginModule

DatabaseServerLoginModule用于在数据库中存储用户名和角色信息:

<login-module code="org.jboss.security.auth.spi.DatabaseServerLoginModule" flag="required">
    <module-option name="password-stacking">useFirstPass</module-option>
    <module-option name="dsJndiName">java:/pacsDS</module-option>
    <module-option name="principalsQuery">select passwd from users where user_id=?</module-option>
    <module-option name="rolesQuery">select roles from roles where user_id=?</module-option>
    <module-option name="hashEncoding">base64</module-option>
    <module-option name="hashCharset">UTF-8</module-option>
    <module-option name="hashAlgorithm">SHA-1</module-option>
</login-module>
<dsJndiName>定义了数据源的JNDI名称。

自定义登录模块

继承javax.security.auth.spi.LoginModule


import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Timestamp;
import java.util.Map;

import javax.security.auth.Subject;
import javax.security.auth.callback.CallbackHandler;
import javax.security.auth.login.AccountExpiredException;
import javax.security.auth.login.LoginException;
import javax.security.auth.spi.LoginModule;

import org.apache.log4j.Logger;
import org.jboss.security.SecurityContextAssociation;

public class PasswordExpirationLoginModule implements LoginModule {
	
	private static final Logger log = Logger.getLogger(PasswordExpirationLoginModule.class);

	private final class PasswordDao extends LoginModuleDAO {
		private final String userName;
		Timestamp expireDate;
		Timestamp createDate;
		private PasswordDao(String userName) {
			super(dsJndiName);
			this.userName = userName;
		}
		@Override
		public void innerRun(Connection conn, PreparedStatement ps, ResultSet rs) throws SQLException,
				LoginException {
				ps = conn.prepareStatement(passwordQuery);
				ps.setString(1, userName);
				rs = ps.executeQuery();
				if (rs.next()) {
					expireDate = rs.getTimestamp("date_of_expiration");
					createDate = rs.getTimestamp("date_of_creation");
				}
		}
	}

	private final class SettingDAO<T> extends LoginModuleDAO {		
		private final String query;
		private T data;
		private final Class<T> type;
		private SettingDAO(String query, Class<T> type) {
			super(dsJndiName);
			this.query = query;
			this.type = type;
		}
		@Override
		public void innerRun(Connection conn, PreparedStatement ps, ResultSet rs) throws SQLException,
				LoginException {
			ps = conn.prepareStatement(query);
			rs = ps.executeQuery();
			
			if (rs.next()) {
				if(type==Integer.class) {
					data = (T) Integer.valueOf(rs.getInt(1));
				}else if(type==Boolean.class) {
					data = (T) Boolean.valueOf(rs.getBoolean(1));
				}else if(type==Timestamp.class) {
					data = (T) rs.getTimestamp(1);
				}else {
					data = (T) rs.getObject(1);
				}

			}
		}		
		public T getResult() {
			return data;
		}
	}
	
	/**
	 * Flag to allow ignore "about to expire" checking 
	 */
	public static final String IGNORE_EXPIRED = "ignore_expired";	
	//mili seconds in a day
	private static final long timeADay = 86400000L;	
	private String dsJndiName;	
	//get pw creation date and expiration date
	private String passwordQuery;	
	private String checkEnabledQuery;
	private String checkFirstLoginQuery;
	private String notifyPeriodQuery;
	private String passAgeQuery;	
	private CallbackHandler callbackHandler;	
	private CallbackHelper helper = new CallbackHelper();

        @Override
	public void initialize(Subject subject, CallbackHandler callbackHandler, Map sharedState,
			Map options) {
		this.callbackHandler = callbackHandler;		
		dsJndiName = (String) options.get("dsJndiName");		
		passwordQuery = (String) options.get("passwordQuery");
		checkEnabledQuery = (String) options.get("checkEnabledQuery");
		checkFirstLoginQuery = (String) options.get("checkFirstLoginQuery");
		notifyPeriodQuery = (String) options.get("notifyPeriodQuery");
		passAgeQuery = (String) options.get("passAgeQuery");
	}
        @Override
	public boolean login() throws LoginException {
		if(log.isDebugEnabled()) {
			log.debug("do expire check");
		}		
		final String userName =  helper.getUsername(callbackHandler);		
		PasswordDao dao = new PasswordDao(userName);
		dao.run();
		
		if(isCheckFirstLoginEnabled()) {
			if(dao.expireDate!=null && dao.expireDate.equals(dao.createDate)) {
				throw new FirstLoginException();
			}
		}
		
		if(isCheckEnabled()) {
			long passAge = getPassAge() * timeADay;			
			SettingDAO<Timestamp> timeDao = 
				new SettingDAO<Timestamp>("select systimestamp from dual", Timestamp.class);
			timeDao.run();
			Timestamp now = timeDao.getResult();			
			if(dao.expireDate!=null) {
				log.warn("expiration date has been set for current password.");
				long time = dao.expireDate.getTime() - dao.createDate.getTime();				
				if(time>0) {
					passAge = Math.min(passAge, time);
				}
			}			
			long currentAge = now.getTime() - dao.createDate.getTime();
			if(currentAge >= passAge) {
				throw new AccountExpiredException();
			}			
			//ignore about to expire
			Boolean isIgnore = (Boolean)(SecurityContextAssociation
                                          .getSecurityContext().getData().get(IGNORE_EXPIRED));
			if(isIgnore!=null && isIgnore) {
				return false;
			}
			long notifiPeriod = getNotifyPeriod() * timeADay;
			if(currentAge >= passAge - notifiPeriod) {
				long time = passAge -currentAge;
				int day = (int)(time / timeADay + (time % timeADay==0 ? 0 : 1));
				throw new AccountToExpireException(day);
			}
		}		
		return false;
	}

	private boolean isCheckFirstLoginEnabled() throws LoginException {
		SettingDAO<Boolean> dao = new SettingDAO(checkFirstLoginQuery, Boolean.class);
		dao.run();
		Boolean result = dao.getResult();		
		return result;
	}

	private int getNotifyPeriod() throws LoginException{
		SettingDAO<Integer> dao = new SettingDAO(notifyPeriodQuery, Integer.class);
		dao.run();
		Integer data = dao.getResult();		
		if(data==null) {
			log.warn("setting for notify period is not found, use hardcode value 14");
			return 14;
		}		
		return data;
	}

	private int getPassAge() throws LoginException {
		SettingDAO<Integer> dao = new SettingDAO(passAgeQuery, Integer.class);
		dao.run();
		Integer data = dao.getResult();		
		if(data==null) {
			log.warn("setting for password expired age is not found");
			return 42;
		}		
		return data;
	}

	private boolean isCheckEnabled() throws LoginException{
		SettingDAO<Boolean> dao = new SettingDAO(checkEnabledQuery, Boolean.class);
		dao.run();
		Boolean result = dao.getResult();		
		return result;
	}
	
        @Override
	public boolean commit() throws LoginException {
		return false;
	}
        @Override
	public boolean abort() throws LoginException {
		return false;
	}
        @Override
	public boolean logout() throws LoginException {
		return false;
	}

}













AlphaWang
关注
专栏目录
在SSH框架下实现jsp页面的局部刷新(ajax)
SXT_fighting的博客
07-21 3722
在SSH框架下实现jsp页面的局部刷新(ajax)第一种方法:jsp中代码为 <a onclick="loadXMLDoc('ajax/my.jsp')"></a>对应的js: <script type="text/javascript"> var xmlhttp; function loadXMLDoc(url) { xmlhttp=null; if (window.XMLHttpR
Java集合框架概述
chen-sx
05-24 342
Java集合框架 概述 Java集合工具包位于Java.util包下,该包包含了许多常用的数据结构,如数组、链表、栈、队列、集合、哈希表等 Java类集合框架如下: 该图引用自http://blog.csdn.net/ns_code/article/details/35564663  具体分析 从图中看的出集合分为两大类:Collection和Map
jboss安装部署
tlucky的博客
04-15 1695
**解压,配置环境变量,JBOSS_HOME C:\zhongjian\jboss 启动服务** 访问,默认端口 8080 更改默认端口 C:\zhongjian\jboss\standalone\configuration 保存,等待更新或重启,重新访问 配置其他主机上也可以访问,将127.0.0.1改为0.0.0.0 更改默认主页——————搜索deployment, 添加auto_deploy-exploded=”true” 完成 ...
JBoss JNDI数据源密码加密处理
风萧萧兮易水寒,壮士一去兮不复还
05-28 967
应用系统中的数据源通常配置在程序中,或者在应用服务器中配置JDNI数据源,在程序中引用。相对来说在应用服务器中配置JNDI数据源更好一点,因为这样一来,数据源变更之后不用修改程序,只要修改应用服务器中JNDI配置即可。在配置数据源的时候,我们经常会看见有很多人将数据源的密码配置成明文的。这样其实不太安全。因为稍有这个常识的人就可以去查看你的配置文件,这样就能够知道你的数据库的用户名和密码。所以我们...
亲自动手搭建微服务框架和测试环境-5-WildFly(JBoss替代者)
changjingya1879的博客
08-04 290
1下载http://wildfly.org/downloads/解压到D:\wildfly-14.0.1.Final2环境变量JBOSS_HOME= D:\wildfly-14.0.1.FinalPath增加%JBOSS_HOME%\bin3配置增加用户add-user test tst123用户test,密码为tst123修改standalone.xml改端口为80:&l...
jboss-4.0.5.GA.zip
10-25
3. **JPA**:这一版本引入了JPA作为ORM(对象关系映射)的标准,使得Java开发者可以更方便地处理数据库操作,通过注解或XML配置,可以将Java对象与数据库表关联起来。 4. **JSF**:JavaServer Faces技术在该版本中...
Jboss资源.rar
05-26
虽然JBoss 4.2.3.GA是一个较旧的版本,但仍然需要定期维护,如安全更新、修复已知漏洞。随着技术的发展,推荐升级到更现代的版本,如JBoss EAP(Enterprise Application Platform)或WildFly,以获得更好的性能和...
jboss-logging.jar,jboss-common.jar
09-20
java.lang.NoSuchMethodError: org.jboss.logging.Logger.getMessageLogger(Ljava/lang/Class;Ljava/lang/String;)Ljava/lang/Object; 错误解决办法
jboss-logging-3.4.3.Final-API文档-中文版.zip
05-09
Maven坐标:org.jboss.logging:jboss-logging:3.4.3.Final; 标签:jboss、logging、jar包、java、中文文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,...
使用eclipse通过jboss开发简单的ejb应用(jboss7.x & ejb3.x)
08-18
在本文中,我们将深入探讨如何使用Eclipse IDE与JBoss应用程序服务器(版本7.x)来开发和部署一个基于EJB 3.x的简单企业级Java应用程序。EJB(Enterprise JavaBeans)是Java平台上的核心组件,它提供了一种标准的...
Jboss6安全配置(添加/修改 用户和密码)
蓝缘
09-27 5909
jboss默认配置了以下服务: * Administration Console * JMX Console * JBoss Web Services Console 为了安全起见,需要用户通过授权进行访问。默认只有Administration Console需要输入用户名和密码,默认用户名和密码都是admin。后面两项需要启用安全检查,Administration Console和JMX
Jboss安装
suo_y的博客
04-20 1727
安装JDK 1、解压jdk后配置环境变量 JAVA_HOME=/usr/java/jdk1.8/ JRE_HOME=/usr/java/jdk1.8/jre PATH=$PATH:$JAVA_HOME/bin:$JRE_HOME/bin CLASS_PATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar:$JRE_HOMR/lib export JAVA_HOME JRE_HOME PATH CLASS_PATH 安装Jboss 注:JDK1.8与Jbo
3.JBoss如何配置从数据库里读取登录用户的验证信息
刘学文的专栏
08-29 2941
     在我的项目一开始的时候由于时间关系,没能摸清楚如何实现用自己写的模块处理登录,所以就采用了比较简单RDBMS(即用Jboss的DatabaseServerLoginModule)模块处理登录事件,然后通过一个过滤器判断用户是否已经登录,如果登录了再从数据库中读取用户信息到session中。虽然自己都感觉到有点不伦不类,但我还是将我的具体实现方式在下面写出来:1.     配置logi
JBoss简介
守拙的博客
02-16 4677
JBoss简介
jboss与jaas的整合日记
我是传奇
02-14 159
开始的时候总是觉得jaas是个很神奇的东西,正好有本书上介绍这个相关的例子,于是按照书上的步骤坐下来似乎也不是那么的复杂,下面是关于jaas与jboss整合的步骤 (1)首先需要在jboss中配置实用RDBMS的方式来管理数据库中的用户和角色,其工作主要包括要在 \jboss-5.1.0.GA\server\default\conf\login-config.xml 中添加对安全管理的配...
JBoss】4. 配置JBoss Web服务器
Alpha's 学习笔记
05-07 6986
JBoss Web服务器建立在Apache Tomcat 6.0的基础上,结合了Tomcat的多功能性和Apache HTTP服务器的速度。 配置URL路径 针对客户端传来的一个URL(协议 :// 域名 : 端口号 / 上下文路径 / 资源),JBoss Web服务器如何确定调用哪个应用程序? 1、server.xml配置连接器:协议、端口号 配置文件: \
JBoss】1. 微容器、JMX
Alpha's 学习笔记
04-08 2932
JBoss微容器 JBoss之前的版本是围绕JMX内核构建,应用服务器提供的服务 都被写成JMX内核的MBean。 优点:是关系松散的体系结构,增删服务很容易 JBoss4.0.3之后,开始向微容器体系结构转变,应用服务器提供的服务使用简单的POJO 优点:不需要支持JMX,所以相对轻量级 ——但是,目前并非所有服务都已移植到微容器中,JMX内核仍然是定义和创建微容器的一个主
JBoss】2. 应用程序部署
Alpha's 学习笔记
04-08 2251
JBoss中部署应用程序 JBoss使用的是一种插件部署体系结构,独立的部署器负责部署不同类型的应用程序,使得部署体系结构模块化。 应用程序打包 需要部署的应用程序,既可以是存档文件,也可以是已解压的目录。 如果是存档文件,则会在server/xx/tmp/deploy下解压此存档文件。 部署器 部署应用程序的替换机制是使用jboss.system:s
JBoss 5.1.0.GA配置与管理指南
"JBoss 5.1.0.GA配置指南是针对JBoss Enterprise Application Platform 5.0的一份详细文档,由JBoss Community编写和编辑。这份指南旨在帮助用户理解和配置JBoss应用服务器,虽然原文是英文的,但包含了丰富的信息,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值