Tomcat JAAS 身份验证和授权

最新推荐文章于 2020-08-05 00:22:39 发布
最新推荐文章于 2020-08-05 00:22:39 发布
阅读量289 收藏
点赞数
文章标签: java 测试 web.xml
原文链接:https://my.oschina.net/boonya/blog/363642
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

Java 认证和授权服务(JAAS)是一种用于验证用户身份以确定安全等级的 Tomcat Realm ( org.apache.catalina.Realm) 的实现。

需求

Tomcat 7.0, MVC (推荐 Spring MVC)和数据库(推荐 Mysql)

1. 配置

appName

appName 属性的值将被传递给 LoginContext (javax.security.auth.login.LoginContext) 构造函数,以指定实现 LoginModule ( javax.security.auth.spi.LoginModule) 的实体名称。

LoginModule 是一个提供了特定类型的身份验证的可插拔接口。 LoginContext 通过读取配置(javax.security.auth.login.Configuration) 指定登录程序中的登录模块(S)。

一个登录配置包括以下信息 :

      Name {
             ModuleClass  Flag    ModuleOptions;
             ModuleClass  Flag    ModuleOptions;
             ModuleClass  Flag    ModuleOptions;
       };

一个登录配置中可能包括不只一个的登录模块。

ModuleClass 是登录模块的完整相称类名。Flag 值 ( Required, Requisite, Sufficient, Optional ) 则控制身份验证的行为。

ModuleOptions则直接将值传递给底层登录模块,它的格式是一个用空格分割的列表。

将下列 Tomcat JAAS Realm 配置添加到 Tomcat server.xml 文件中:

<realm classname="org.apache.catalina.realm.JAASRealm" appname="jasslogin" userclassnames="com.test.secure.TestUserPrincipal" roleclassnames="com.test.secure.TestRolePrincipal">
 
</realm>

在 tomcat/conf 文件夹中创建 jass.config 文件:

jasslogin{
com.test.secure.TestLoginModule  required;
};

在 tomcat/bin 文件夹中创建 setenv.bat 文件,并添加下列配置:

set JAVA_OPTS=-Djava.security.auth.login.config==C:/tomcat/conf/jaas.config

2. 登录模块

当 logincontext 读取配置时,登录模块将初始化,包括 Subject ( javax.security.auth.Subject),回叫处理( javax.security.auth.callback.CallBackHandler),共享登录模块以及 LoginModule-specific 选项。

  boolean login() throws LoginException;

第一个被 LoginContext 调用来实际处理身份验证的方法是 Login 方法,它将返回 true 或 false 。如果验证成功, commit 方法将被调用。

 package com.test.secure;

import java.io.IOException;
import java.security.Principal;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.ArrayList;
import java.util.List;
import java.util.Map;

import javax.security.auth.Subject;
import javax.security.auth.callback.Callback;
import javax.security.auth.callback.CallbackHandler;
import javax.security.auth.callback.NameCallback;
import javax.security.auth.callback.PasswordCallback;
import javax.security.auth.callback.UnsupportedCallbackException;
import javax.security.auth.login.LoginException;
import javax.security.auth.spi.LoginModule;

import org.apache.log4j.Logger;

public class TestLoginModule implements LoginModule {

	Logger logger = Logger.getLogger(TestLoginModule.class);
	public static String USER_QUERY = "select user_name from users where user_name=? and user_pass=?";
	public static String ROLE_QUERY = "select role_name from  user_roles where user_name=?";

	private Subject subject;
	private CallbackHandler callbackHandler;
	private Map sharedState;
	private Map options;

	// configurable option
	private boolean debug = false;

	// the authentication status
	private boolean succeeded = false;
	private boolean commitSucceeded = false;

	// user credentials
	private String username = null;
	private char[] password = null;
	// principals
	private TestUserPrincipal testUserPrincipal;
	private TestRolePrincipal testRolePrincipal;
	private TestPasswordPrincipal testPasswordPrincipal;

	@Override
	public void initialize(Subject subject, CallbackHandler callbackHandler,
			Map<String, ?> sharedState, Map<String, ?> options) {

		this.subject = subject;
		this.callbackHandler = callbackHandler;
		this.sharedState = sharedState;
		this.options = options;

	}

	@Override
	public boolean login() throws LoginException {

		if (callbackHandler == null) {
			throw new LoginException("call back handler is null");
		}

		Callback[] callbacks = new Callback[2];
		callbacks[0] = new NameCallback("username");
		callbacks[1] = new PasswordCallback("password: ", false);

		try {

			callbackHandler.handle(callbacks);
			
			username = ((NameCallback) callbacks[0]).getName();
			password = ((PasswordCallback) callbacks[1]).getPassword();

			if (username == null || password == null) {
				throw new LoginException(
						"Callback handler does not return login data properly");

			}

			logger.info(" username" + username);
			logger.info("password" + password);

			// authenticate

			if (isValidUser()) {
				succeeded = true;
				return true;
			}
			
		

		} catch (IOException e) {
			e.printStackTrace();
		} catch (UnsupportedCallbackException e) {
			e.printStackTrace();
		}

		return false;
	}

	@Override
	public boolean commit() throws LoginException {
		
		logger.info("committing...");

		if (succeeded == false) {
			return false;
		} else {
			testUserPrincipal = new TestUserPrincipal(username);
			
			
			if (!subject.getPrincipals().contains(testUserPrincipal)) {
				subject.getPrincipals().add(testUserPrincipal);
				
			}
			
			
		/*	testPasswordPrincipal = new TestPasswordPrincipal(new String(
					password));
			if (!subject.getPrincipals().contains(testPasswordPrincipal)) {
				subject.getPrincipals().add(testPasswordPrincipal);
				
			}
*/
			// populate subject with roles.
			
			
			// strings
			List roles = getRoles(testUserPrincipal);
			
			
			
			for (String role : roles) {
				
				
				
				testRolePrincipal = new TestRolePrincipal(role);
				
				if (!subject.getPrincipals().contains(testRolePrincipal)) {
					
					subject.getPrincipals().add(testRolePrincipal);
					
				}
					
					
				
			}
			
			
			commitSucceeded = true;

			logger.info("Login subject were successfully populated with principals and roles");
			logger.info("--------------principals");
			logger.info(subject.getPrincipals());
				
		   
			
			for(Principal p: subject.getPrincipals()){
				
				if(p instanceof TestRolePrincipal){
					
					logger.info(" ROLE: "+p.getName());
					
				}
				
				
			}
			
			
			

			return true;
		}
	}

	@Override
	public boolean abort() throws LoginException {

		if (succeeded == false) {
			return false;
		} else if (succeeded == true && commitSucceeded == false) {
			succeeded = false;
			username = null;
			if (password != null) {
				password = null;
			}
			testUserPrincipal = null;
		} else {
			logout();
		}
		return true;
	}

	@Override
	public boolean logout() throws LoginException {

		subject.getPrincipals().remove(testUserPrincipal);
		succeeded = false;
		succeeded = commitSucceeded;
		username = null;
		if (password != null) {
			for (int i = 0; i < password.length; i++) {
				password[i] = ' ';
				password = null;
			}
		}
		testUserPrincipal = null;
		return true;
	}

	private boolean isValidUser() throws LoginException {

		Connection connection = null;

		ResultSet rs = null;
		PreparedStatement stmt = null;

		try {

			connection = getConnection();

			stmt = connection.prepareStatement(USER_QUERY);
			stmt.setString(1, username);
			stmt.setString(2, new String(password));

			rs = stmt.executeQuery();

			if (rs.next()) { // User exist with the given user name and
								// password.
				return true;
			}
		} catch (Exception e) {
			logger.error("Error when loading user from the database " + e);
			e.printStackTrace();
		} finally {
			try {
				rs.close();
			} catch (SQLException e) {
				logger.error("Error when closing result set." + e);
			}
			try {
				stmt.close();
			} catch (SQLException e) {
				logger.error("Error when closing statement." + e);
			}
			try {
				connection.close();
			} catch (SQLException e) {
				logger.error("Error when closing connection." + e);
			}
		}
		return false;
	}

	private List getRoles(TestUserPrincipal user) {

		Connection connection = null;

		ResultSet rs = null;
		PreparedStatement stmt = null;

		List roleList = new ArrayList();

		try {

			connection = getConnection();

			stmt = connection.prepareStatement(ROLE_QUERY);
			stmt.setString(1, username);

			rs = stmt.executeQuery();

			while (rs.next()) {
				roleList.add(rs.getString("role_name"));
				user.addRole(new TestRolePrincipal((rs.getString("role_name"))));
			}
		} catch (Exception e) {
			logger.error("Error when loading user from the database " + e);
			e.printStackTrace();
		} finally {
			try {
				rs.close();
			} catch (SQLException e) {
				logger.error("Error when closing result set." + e);
			}
			try {
				stmt.close();
			} catch (SQLException e) {
				logger.error("Error when closing statement." + e);
			}
			try {
				connection.close();
			} catch (SQLException e) {
				logger.error("Error when closing connection." + e);
			}
		}
		
		return roleList;
	}

	private Connection getConnection() {

		try {
			Class.forName("com.mysql.jdbc.Driver");
			return DriverManager.getConnection(
					"jdbc:mysql://localhost:3306/test", "root", "password");
		} catch (Exception e) {
			e.printStackTrace();
		}
		return null;
	}

}

package com.test.secure;

import java.security.Principal;
import java.util.HashSet;
import java.util.Iterator;
import java.util.Set;

import org.apache.catalina.Group;
import org.apache.catalina.Role;
import org.apache.catalina.User;
import org.apache.catalina.UserDatabase;

public class TestUserPrincipal implements User {
	
	
	private String username;
	private Set roles = new HashSet();
	
	public TestUserPrincipal(String u){
		this.username=u;
	}

	@Override
	public String getName() {
		// TODO Auto-generated method stub
		return  username;
	}

	@Override
	public void addGroup(Group arg0) {
		// TODO Auto-generated method stub
		
	}

	@Override
	public void addRole(Role role) {
	roles.add(role);
		
	}

	@Override
	public String getFullName() {
		// TODO Auto-generated method stub
		return username;
	}

	@Override
	public Iterator getGroups() {
		
		
		
		return null;
	}

	@Override
	public String getPassword() {
		// TODO Auto-generated method stub
		return null;
	}

	@Override
	public Iterator getRoles() {

        return roles.iterator();
	}

	@Override
	public UserDatabase getUserDatabase() {
		// TODO Auto-generated method stub
		return null;
	}

	@Override
	public String getUsername() {
		// TODO Auto-generated method stub
		return username;
	}

	@Override
	public boolean isInGroup(Group arg0) {
		// TODO Auto-generated method stub
		return false;
	}

	@Override
	public boolean isInRole(Role role) {
		
		if(1==1){
			return true;
		}
		
		if(!roles.isEmpty()){
			Iterator it =roles.iterator();
			while(it.hasNext()){
			Role rol =(Role)it.next();
			if(rol.getName()!=null && rol.getName().equals(role.getName())){
				return true;
			}
			}
		}
		
		return false;
	}

	@Override
	public void removeGroup(Group arg0) {
		// TODO Auto-generated method stub
		
	}

	@Override
	public void removeGroups() {
		// TODO Auto-generated method stub
		
	}

	@Override
	public void removeRole(Role arg0) {
		// TODO Auto-generated method stub
		
	}

	@Override
	public void removeRoles() {
		roles.clear();
		
	}

	@Override
	public void setFullName(String arg0) {
		setUsername(username);
		
	}

	@Override
	public void setPassword(String arg0) {
		// TODO Auto-generated method stub
		
	}

	@Override
	public void setUsername(String arg0) {
	 this.username=arg0;
		
	}

	
	
}


package com.test.secure;

import java.io.Serializable;

import java.security.Principal;

import org.apache.catalina.Role;
import org.apache.catalina.UserDatabase;

public class TestRolePrincipal implements Role, Serializable {
	
	
	private String roleName;
	
	
	public TestRolePrincipal(String name){
		this.roleName=name;
	}

	@Override
	public String getName() {
		// TODO Auto-generated method stub
		return getRolename();
	}

	@Override
	public String getDescription() {
		// TODO Auto-generated method stub
		return " some role";
	}

	@Override
	public String getRolename() {
		// TODO Auto-generated method stub
		return roleName;
	}

	@Override
	public UserDatabase getUserDatabase() {
		// TODO Auto-generated method stub
		return null;
	}

	@Override
	public void setDescription(String arg0) {
		
		
	}

	@Override
	public void setRolename(String arg0) {
		roleName =arg0;
		
	}

你需要将 tomcat/lib 中的三个类都封装到 jar 中,一边在启动时加载。

3.登录处理器

在这个例子中我们使用的是 Spring MVC,但作为测试,你可使用任何其他的请求处理器,或者只是一个 Servlet:

package com.test.secure;

import java.security.Principal;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.apache.catalina.Session;
import org.springframework.web.servlet.ModelAndView;
import org.springframework.web.servlet.mvc.AbstractController;

public class SecureController extends AbstractController {

	@Override
	protected ModelAndView handleRequestInternal(HttpServletRequest req,
			HttpServletResponse res) throws Exception {

 
		
   
		
	ModelAndView m = new ModelAndView("SecureView");
	return m;
	}

}

4. 安全约束

在 web.xml 中增加一个安全约束 ( org.apache.catalina.deploy. SecurityConstraint) 和角色授权的资源访问:

 < security-constraint >
  
  < web-resource-collection >
  < web-resource-name>interdit< /web-resource-name >
  < url-pattern >/go/*< /url-pattern >
  < /web-resource-collection >
  
  < auth-constraint >
  < description>tomcat< /description >
  < role-name>tomcat< /role-name >
  < /auth-constraint>

 < /security-constraint>

然后添加登录和登录错误页

FORMjasslogin/join.do/joinerror.do

5. 用户密码和角色
CREATE TABLE `users` (
  `user_name` varchar(15) NOT NULL,
  `user_pass` varchar(15) NOT NULL,
  PRIMARY KEY (`user_name`);

INSERT INTO `users` VALUES ('admin','root'),('role1','root'),('tomcat','tomcat');


CREATE TABLE `user_roles` (
  `user_name` varchar(15) NOT NULL,
  `role_name` varchar(15) NOT NULL,
  PRIMARY KEY (`user_name`,`role_name`);


INSERT INTO `user_roles` VALUES ('tomcat','manager-gui'),('tomcat','manager-jmx'),('tomcat','manager-script'),('tomcat','manager-status'),('tomcat','tomcat');

6.登录表单
<form action="<%= response.encodeURL(" j_security_check")="" %="">" method="post">
 
    <fieldset>
        <legend>Login </legend>
        <p><label for="name">Username</label> <input name="j_username" type="text"></p>
        <p><label for="e-mail">Password</label> <input name="j_password" type="password"><br></p>
        <p class="submit"><input value="Submit" type="submit"></p>
    </fieldset>
 
</form>


转载于:https://my.oschina.net/boonya/blog/363642

weixin_34335458
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vaas:基于JAAS的VRaptor身份验证授权项目
05-14
#在JAAS上运行VAAS与JAASJAVAEE身份验证授权规范)具有良好的集成。 让我们来看看。 首先,您必须在Web应用程序的META-INF文件夹中创建一个Context.xml文件。 在这里,我们使用的是来自Tomcat的MemoryRealm
java JAAS登陆验证
01-09
Java Authentication and Authorization Service (JAAS) 是Java平台中用于安全性的框架,主要用于用户身份验证和权限授权。在Java应用程序中,尤其是服务器端应用,确保只有合法的用户能够访问资源是至关重要的。...
基于Java JAAS表单的身份验证
最佳 Java 编程
05-09 538
使用JAAS实现登录模块是一个高级主题,而且大多数开发人员也很少有机会参与这种开发。 但是JAAS登录模块的基本实现并不是那么困难,这是因为我打算将其发布。 在这里,我正在解释如何实现tomcat管理的身份验证模块。 此实现与容器无关。 我们可以将其与稍有更改的任何容器一起使用。 第一步,我们需要创建一个实现javax.security.auth.spi.LoginModule...
tomcatjaas配置实例
newbei5862的博客
06-02 771
声明:以下方式只能帮忙理解知识,如果希望通过步骤跑起来,有一些坑。 1、采用的JDK 1.8 一、首先参考tomcate下文档的jaasRealm的配置,注意文档中的两个地方: Quick Start To set up Tomcat to use JAASRealm with your own JAAS login module, you will need to follow these steps: 1. Write your own LoginModule, User and ...
tomcat下摘要认证(数据库配置用户角色)+java代码模拟请求
爱,促进自我完善!
05-27 298
1. 如果你不明白摘要认证,可以看看这个网站:【http://zh.wikipedia.org/wiki/HTTP摘要认证】   2. 这篇文章解决了什么呢?①基于tomcat的摘要认证配置 ②用户名与角色存储到数据库中 ③java代码模拟客户端请求服务端;好了,让我们一起来理解摘要认证原理吧。   3. 怎么给自己的资源(被请求的文件)加上摘要认证呢?且按照下面一步步配置: 准...
在中Tomcat实现JAAS
u012619290的博客
11-11 152
这两天学习了一下JAAS,并遇到了一个Tomcat的bug,这里记录下来。 [url=http://java.sun.com/j2se/1.4.2/docs/guide/security/jaas/JAASLMDevGuide.html]http://java.sun.com/j2se/1.4.2/docs/guide/security/jaas/JAASLMDevGuide.htm...
java如何实现tomcat的启动密码鉴权与定时停止鉴权问题解决方案
qq_36742180的博客
06-27 297
首先我的鉴权思路请看图: 一.鉴权 1.以何种场景来判断? 业务需求要求:主要围绕公司系统提供给客户方式的Web项目鉴权与控制,想要达到效果无非就是需要配合连贯,进行把控。 得出tomcat启动前的鉴权场景。主要技术方法:@PostConstruct标签可让方法在运行前执行。 具体详情功能可看:https://blog.csdn.net/qq_38676810/article/details/80...
Java认证和授权服务笔记代码
02-19
Java认证和授权服务(Java Authentication and Authorization Service,简称JAAS)是Java平台提供的一种安全机制,用于处理用户身份验证和权限管理。它为开发者提供了一种标准的方式来集成各种安全策略和认证机制,...
tomcat 权限验证
01-11
8. ** JAASJava Authentication and Authorization Service) **:JAASJava平台的标准认证和授权服务,Tomcat的Realm实现是基于JAAS的。 了解以上知识点后,你可以根据实际需求配置Tomcat以实现定制化的权限...
JAAS认证与授权教程
10-19
Java Authentication and Authorization Service (JAAS) 是Java平台中用于安全性的关键组件,它提供了一种框架,使得应用程序能够实现用户身份验证和权限管理。在这个教程中,我们将深入探讨JAAS的核心概念、工作...
tomcat鉴权例子
07-29
Tomcat鉴权机制,安全登录,防止服务器攻击
JAAS
For that dream
04-24 966
JAAS:灵活的Java安全机制 Java Authentication Authorization Service(JAASJava验证和授权API)提供了灵活和可伸缩的机制来保证客户端或服务器端的Java程序。Java早期的安全框架强调的是通过验证代码的来源和作者,保护用户避免受到下载下来的代码的攻击。JAAS强调的是通过验证谁在运行代码以及他/她的权限来保护系统面受用户的攻击。它让你能够
jaas.config的配置路径
看看我都干了些啥!
12-23 1305
jaas.config的配置路径        配置jre\lib\security 下的java.security文件中的 login.config.url.1="你的login配置文件的绝对路径!",注意login.config.url.n(数字)必须是连续的!例如,如果你的java.security文件中已经有且只有login.config.url.1=“”,那么你就要配置为login....
tomcat中管理领域、角色及用户
a683540819的博客
08-05 862
servletContainer或web应用程序本身都可以提供控制web应用程序资源的安全防护 前者称为容器管理的安全防护,或者称为应用程序管理安全防护 通过内嵌机制,tomcat提供一些安全防护方法,这是一种“容器管理”的安全防护。另一方面如果有一系列具有自己的登录机制的servlet和JSP,则视为应用程序管理的安全防护。 不管是哪种安全防护类型,都是用称之为领域(realm)的组来管理用户和密码。 下面将介绍conf/server.conf中领域的配置(定义了如何存储用户与角色信息),以及.
Tomcat jaas 配置
u011233087的专栏
03-02 973
Tomcat下的认证授权配置
JAAS 认证
iteye_5753的博客
10-24 211
一 什么是JAAS Java 认证和授权服务”(Java Authentication and Authorization Service,JAAS)是对 Java 2 SDK 的扩展。 JAAS 可分Authentication和Authorization 。 1)  Authentication:认证用户身份。看哪个用户在执行代码。通俗的来说就是哪个用户在执行操作。这个操作可能在某个...
Tomcat支持的JAAS和JNDI绑定
xinlvye的专栏
10-13 617
。。。。
JAAS(Java 认证和授权服务)开发指南
lyb520320的博客
07-24 170
本文翻译自:[url]http://java.sun.com/developer/technicalArticles/Security/jaasv2/[/url] 传统的JAVA安全机制没有提供必要的架构支持传统的认证和授权;在J2SE里的安全是基于公钥密码体系和代码签名。也就是说,认证是基于在JVM里执行代码的思想,并且没有对资源请求提供策略。而且授权也是基于这样的概念--代码试图去使用一...
JAAS灵活的Java安全机制.docx
最新发布
09-04
Java Authentication and Authorization Service (JAAS) 是Java平台中用于实现身份验证授权的标准化框架,它为开发者提供了一种灵活且可扩展的方式来确保客户端和服务器端的Java应用程序的安全性。JAAS的核心目标...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值