JAAS基础

Published by admin on 02月 5, 2009

JAAS基础

Java 身份验证和授权服务（Java Authentication and Authorization Service，简称JAAS） 要求将“主题”作为身份验证信息的 .. BEA 建议将安全角色（而不是用户或组）作为安全策略的基础。通过将安全角色作为安全策略的基础，您可以根据授予用户或组的。

JAAS通过一个配置文件来定义认证机制，而根本不需要使用任何代码。认证机制之所以需要参数是为了确定用户的身份（对用户进行标识）。

学习资源地址：

http://edocs.bea.com.cn/wls/docs92/secintro/concepts.html

http://www.ibm.com/developerworks/cn/opensource/os-ag-tomcat/

JAAS： java验证与授权服务(Java Authencation and Authorization Service).

JAAS 体系结构包括以下package：

javax.security.auth

javax.security.auth.callback

javax.security.suth.login

javax.security.spi

JAAS主要的类和接口：

1) Subject

2) LoginContext

3) LoginModule

4) Configuration

5) CallbackHandler

6) Callback

7) Policy

AuthPermission

9) PrivateCredentialsPerssion

JAAS主题　 Subject

　主题抽象使主题可以向系统验证和授权主题对资源的访问。

javax.security.auth.Subject类是个Serializable和final类，用于包装要利用系统的一些安全关键方面的实体。

它有两个构造器

Subject()

Create an instance of a Subject with an empty Set of Principals and empty Sets of public and private credentials.

Subject(boolean readOnly, Set principals, Set pubCredentials, Set privCredentials)

Create an instance of a Subject with the specified Sets of Principals and credentials.

Subject对象还可以和定义验证主体身份的信息的证书相关联。

Subject类还定义一个getSubject()方法，两个doAs()方法和两个doAsPrivileged()方法。

还有以下方法：

subject.getPrincipals()　返回一组 Principal 对象。因为结果是 Set，所以适用操作 remove()、add() 和 contains()。

subject.getPublicCredentials()　　　返回一组与 Subject 相关的公用可访问凭证。

subject.getPrivateCredentials()　　返回一组与 Subject 相关的专用可访问凭证。

专门主题证书
　　和Subject相关的证书对象可以使用两个接口：

　javax.security.auth.Refreshable 与

　javax.security.auth.Destoryable

怎么用JAAS验证??

　 使用可插入验证模块(PAM, Pluggable Authentication Module)框架采用的模式，将应用程序与基础验证技术分开。

登录配置

JAAS 使用 login.config 文件来指定每个登录模块的认证项。login.config 文件是在 Java 执行命令行上用特性 -Djava.security.auth.login.config==login.config 指定的。
　　例子：

　　JAASExample {

　　AlwaysLoginModule optional;

　　PasswordLoginModule optional;

　};

　ogin.config 文件包含 LoginContext 构造器中引用的文本字符串和登录过程列表。几个参数用于指定一个给定的登录过程的成功或失败对总体认证过程的影响。有如下参数：

required　　表示登录模块必须成功。即使它不成功，还将调用其它登录模块。

optional　　表示登录模块可以失败，但如果另一个登录模块成功，总体登录仍可以成功。如果所有登录模块都是可选的，那么要使整个认证成功至少必须有一个模块是成功的。
　　requisite　表示登录模块必须成功，而且如果它失败，将不调用其它登录模块。
　　sufficient　表示如果登录模块成功，则总体登录将成功，同时假设没有其它必需或必不可少的登录模块失败。

登录模块初始化

下面是LoginContext

public final class LoginContext {

public LoginContext(String name) {}

public void login(){}

public void logout(){}

public Subject getSubject(){}

}

下面是LoginModule

　public interface LoginMoudule(){

boolean login(){};

boolean commit();

boolean abort();

boolean logout();

}