Java安全之认证与授权

最新推荐文章于 2024-07-23 14:43:33 发布
最新推荐文章于 2024-07-23 14:43:33 发布
阅读量6.5k 收藏 5
点赞数
分类专栏: java security 文章标签: security 安全 jaas authentication authorization
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xtayfjpk/article/details/45872161
版权
本文介绍了Java平台的认证与授权服务JAAS,包括如何控制代码对敏感资源的访问,认证与授权的区别与联系,以及如何通过配置安全策略文件实现权限控制。文章通过实例展示了如何创建LoginContext、LoginModule、CallbackHandler和Principal,以及如何进行细粒度的权限控制。
摘要由CSDN通过智能技术生成

    Java平台提供的认证与授权服务(Java Authentication and Authorization Service (JAAS)),能够控制代码对敏感或关键资源的访问,例如文件系统,网络服务,系统属性访问等,加强代码的安全性。主要包含认证与授权两部分,认证的目的在于可靠安全地确定当前是谁在执行代码,代码可以是一个应用,applet,bean,servlet;授权的目的在于确定了当前执行代码的用户有什么权限,资源是否可以进行访问。虽然JAAS表面上分为了两大部分,而实际上两者是密不可分的,下面看一段代码:

public class App {
	
	public static void main(String[] args) {
		System.out.println(System.getProperty("java.home"));
	}
}


非常简单只是输出java.home系统属性,现在肯定是没有任何问题,属性会能正常输出。把上述代码改为如下后:

public class App {
	
	public static void main(String[] args) {
		//安装安全管理器
		System.setSecurityManager(new SecurityManager());
		
		System.out.println(System.getProperty("java.home"));
	}
}


抛出了如下异常:java.security.AccessControlException: access denied ("java.util.PropertyPermission" "java.home" "read"),异常提示没有对java.home的读取权限,系统属性也是一种资源,与文件访问类似;默认情况下对于普通Java应用是没有安装安全管理器,在手动安装安全管理器后,如果没有为应用授权则没有任何权限,所以应用无法访问java.home系统属性。

授权的方式是为安全管理器绑定一个授权策略文件。由于我是在eclipse Java工程中直接运行main方法,所以就在工程根目录下新建一个demo.policy文件,文件内容如下:

grant  {
	permission java.util.PropertyPermission "java.home", "read";
};


该授权的效果是任何用户运行的任何程序都有对java.home的读权限,policy文件的具体格式请参看:http://docs.oracle.com/javase/7/docs/technotes/guides/security/PolicyFiles.html
为安全管理器绑定policy文件的方式有两种:一、在运行程序的时候加入-Djava.security.policy=demo.policy虚拟机启动参数;二、执行System.setProperty("java.security.policy", "demo.policy");其实两者的效果一样,都是在设置系统属性,其中demo.policy是路径,这里为了简单指定的是相对路径,绝对路径当然也没问题。再次运行程序不再抛出异常,

最低0.47元/天 解锁文章
云原生之家
关注
专栏目录
Pulsar: Please check your java.security.login.auth.config (=null) for section header: PulsarBroker
sun%moon
11-08 1339
背景 pulsar集群版本为2.7.0 pulsar配置了基于kerberos的安全认证 在conf/broker.conf文件里配置了saslJaasBrokerSectionName=MQBroker 在jaas文件中部分配置如下: MQBroker { com.sun.security.auth.module.Krb5LoginModule required useKeyTab=true storeKey=true useTicketCache=false keyTa
java.security.auth.loin.config
weixin_41267871的博客
12-23 993
Java中的认证授权机制
微赚淘客系统开发者博客
07-23 586
使用Spring Security,可以有效地配置基于表单登录的认证、OAuth2授权以及OpenID Connect身份验证。无论是实现基础的认证机制,还是集成复杂的OAuth2和OpenID Connect协议,Spring Security都提供了丰富的支持,帮助开发者构建安全的应用程序。认证是验证用户身份的过程,而授权是确定用户是否有权限访问特定资源的过程。Spring Security是一个功能强大的安全框架,提供了认证授权的全面支持。以下是一个简单的基于表单登录的认证配置示例。
javax.security.auth.login
BLOG域名:programb.blog.csdn.net
05-12 1246
This package provides a pluggable authentication framework. Package Specification Java™ Cryptography Architecture Standard Algorithm Name Documentation Exceptions LoginException This is the basic login exception.
java 安全 认证授权,Java安全认证授权
weixin_35676877的博客
03-20 925
Java平台提供的认证授权服务(Java Authentication and Authorization Service (JAAS)),能够控制代码对敏感或关键资源的访问,例如文件系统,网络服务,系统属性访问等,加强代码的安全性。主要包含认证授权两部分,认证的目的在于可靠安全地确定当前是谁在执行代码,代码可以是一个应用,applet,bean,servlet;授权的目的在于确定了当前执行代...
Java安全知识点详解:加密、认证、防护和漏洞扫描
06-19
Java安全涉及多个方面,包括加密和解密、安全认证授权安全通信和防护,以及安全漏洞扫描。本文将深入探讨这些关键知识点。 首先,加密和解密是信息安全的基础。对称加密,如DES和AES,使用相同的密钥进行加解密...
P神-Java安全漫谈
04-20
身份认证和访问控制:Java安全包括用户身份认证授权机制,以确保只有经过验证的用户可以访问受限资源。常见的身份认证方式包括用户名密码验证、令牌(Token)验证和双因素认证等。 数据加密和传输安全Java提供...
Java课程实验 Spring Security 实现用户认证授权管理
07-07
要在Spring Boot中实现用户认证授权管理,你可以使用Spring Security框架。Spring Security提供了一套强大的功能来处理用户身份验证和授权,以下是一些常见的步骤: 1.添加Spring Security依赖: 在项目的 pom.xml...
[毕业设计]Java构建的安全电子商务身份认证授权系统(论文).doc
最新发布
08-21
[毕业设计]Java构建的安全电子商务身份认证授权系统(论文)
Java 安全性 – 认证授权
有时间就有历史,有历史就有传奇。
04-23 297
原文地址:http://www.ibm.com/developerworks/cn/views/java/tutorials.jsp?cv_doc_id=84887 关于作者 Brad Rubin 是 Brad Rubin & Associates Inc. 的负责人,该公司是一家专门从事无线网络与 Java 应用程序安全性和教育的计算机安全性咨询公司。Brad 在 I...
Package javax.security.auth.spi
BLOG域名:programb.blog.csdn.net
04-08 189
This package provides the interface to be used for implementing pluggable authentication modules. See: Description Interface Summary Interface Description LoginModule LoginModule describes the int...
JAAS:灵活的Java安全机制
oicqren的专栏
11-24 1571
  Java Authentication Authorization Service(JAASJava验证和授权API)提供了灵活和可伸缩的机制来保证客户端或服务器端的Java程序。Java早期的安全框架强调的是通过验证代码的来源和作者,保护用户避免受到下载下来的代码的攻击。JAAS强调的是通过验证谁在运行代码以及他/她的权限来保护系统面受用户的攻击。它让你能够将一些标准的安全机制,例如S
推荐使用:Microsoft Authentication Library (MSAL) for Java
gitblog_00063的博客
05-25 469
推荐使用:Microsoft Authentication Library (MSAL) for Java 项目地址:https://gitcode.com/AzureAD/microsoft-authentication-library-for-java 1、项目介绍 微软认证库(MSAL)为Java开发人员提供了一种无缝的方式,以与微软身份平台集成。这个强大的库允许您的应用程序支持微软身份(包...
Java 安全性,第 2 部分: 认证授权
dac55300424的专栏
10-23 1306
概念性的概述 认证授权 认证是用户或计算设备用来验证身份的过程。授权是根据请求用户的身份允许访问和操作一段敏感软件的过程。这两个概念密不可分。没有授权,就无需知道用户的身份。没能认证,就不可能区分可信和不可信用户,更不可能安全授权访问许多系统部分。 不一定要标识或认证个别实体;在某些情况下,可以通过分组,对给定组中的所有实体授予某种权限来进行认证。在某些情况下,个别认证是系统安全性必不可
java authenticator_java – 重置Authenticator凭据
weixin_36090220的博客
02-16 844
我们在实用程序类中有一个静态方法,它将从URL下载文件.已设置验证器,因此如果需要用户名和密码,则可以检索凭据.问题是,只要凭证有效,第一次成功连接的凭证就会用于每个连接后的字.这是一个问题,因为我们的代码是多用户的,并且由于没有为每个连接检查凭据,因此没有正确凭据的用户可能会下载文件.这是我们正在使用的代码private static URLAuthenticator auth;public s...
java连接微软AD进行用户验证
ziyunlong1984的专栏
11-04 3443
import java.util.Hashtable;   import javax.naming.Context;   import javax.naming.NamingException;   import javax.naming.directory.DirContext;   import javax.naming.directory.InitialDirContext;
java security 详解_Java-Security(四):用户认证流程源码分析
weixin_42407606的博客
02-16 1054
让我们带着以下3个问题来阅读本篇文章:1)在Spring Security项目中用户认证过程中是如何执行的呢?2)认证认证结果如何实现多个请求之间共享?3)如何获取认证信息?在《Java-Security(二):如何初始化springSecurityFilterChain(FilterChainProxy)》中可以发现SpringSecurity的核心就是一系列过滤链,当一个请求进入时,首先会被...
Java安全框架Shiro的认证授权详解
"认证授权相关技术总结" Apache Shiro是一个强大的Java安全框架,专注于提供认证授权、加密和会话管理等功能。它简化了安全管理的复杂性,使得开发人员能够更专注于应用逻辑,而不是安全实现。以下是对Shiro关键...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值