參考http://www.iteye.com/topic/366944
Java Authentication Authorization Service(JAAS,Java驗證和授權API)提供了靈活和可伸縮的機制來保證客戶端或服務器端的Java程序。Java早期的安全框架強調的是通過驗證代碼的來源和作者,保護用戶避免受到下載下來的代碼的攻擊。JAAS強調的是通過驗證誰在運行代碼以及他/她的權限來保護系統面受用戶的攻擊。它讓你能夠將一些標準的安全機制,例如Solaris NIS(網絡信息服務)、Windows NT、LDAP(輕量目錄存取協議),Kerberos等通過一種通用的,可配置的方式集成到系統中。
你是否曾經需要爲一個應用程序實現登錄模塊呢?如果你是一個比較有經驗的程序員,相信你這樣的工作做過很多次,而且每次都不完全一樣。你有可能把你的登錄模塊建立在Oracle數據庫的基礎上,也有可能使用的是NT的用戶驗證,或者使用的是LDAP目錄。如果有一種方法可以在不改變應用程序級的代碼的基礎上支持上面提到的所有這一些安全機制,對於程序員來說一定是一件幸運的事。
現在你可以使用JAAS實現上面的目標。JAAS是一個比較新的的Java API。在J2SE 1.3中,它是一個擴展包;在J2SE 1.4中變成了一個核心包。在本文中,我們將介紹JAAS的一些核心概念,然後通過例子說明如何將JAAS應用到實際的程序中。本文的例子是根據我們一個基於Web的Java應用程序進行改編的,在這個例子中,我們使用了關係數據庫保存用戶的登錄信息。由於使用了JAAS,我們實現了一個健壯而靈活的登錄和身份驗證模塊。
客戶端和服務器端的JAAS
開發人員可以將JAAS應用到客戶端和服務器端。在客戶端使用JAAS很簡單。在服務器端使用JAAS時情況要複雜一些。目前在應用服務器市場中的JAAS產品還不是很一致,使用JAAS的J2EE應用服務器有一些細微的差別。例如JBossSx使用自己的結構,將JAAS集成到了一個更大的安全框架中;而雖然WebLogic 6.x也使用了JAAS,安全框架卻完全不一樣。現在你能夠理解爲什麼我們需要從客戶端和服務器端的角度來看JAAS了。
我們將在後面列出兩種情況下的例子。爲了使服務器端的例子程序更加簡單,我們使用了Resin應用服務器。
核心JAAS類
在使用JAAS之前,你首先需要安裝JAAS。在J2SE 1.4中已經包括了JAAS,
但是在J2SE 1.3中沒有。如果你希望使用J2SE 1.3,你可以從SUN的官方站點上
下載JAAS。當正確安裝了JAAS後,你會在安裝目錄的lib目錄下找到jaas.jar。
你需要將該路徑加入Classpath中。(注:如果你安裝了應用服務器,其中就已
經包括了JAAS,請閱讀應用服務器的幫助文檔以獲得更詳細的信息)。在Java
安全屬性文件java.security中,你可以改變一些與JAAS相關的系統屬性。該文
件保存在<jre_home>/lib/security目錄中。
在應用程序中使用JAAS驗證通常會涉及到以下幾個步驟:
1. 創建一個LoginContext的實例。
2. 爲了能夠獲得和處理驗證信息,將一個CallBackHandler對象作爲參數
傳送給LoginContext。
3. 通過調用LoginContext的login()方法來進行驗證。
4. 通過使用login()方法返回的Subject對象實現一些特殊的功能(假設
登錄成功)。
下面是一個簡單的例子:
LoginContext lc = new LoginContext("MyExample");
try {
lc.login();
} catch (LoginException) {
// Authentication failed.
}
// Authentication successful, we can now continue.
// We can use the returned Subject if we like.
Subject sub = lc.getSubject();
Subject.doAs(sub, new MyPrivilegedAction());
在運行這段代碼時,後臺進行了以下的工作。
1. 當初始化時,LoginContext對象首先在JAAS配置文件中找到MyExample
項,然後更具該項的內容決定該加載哪個LoginModule對象(參見圖二)。
2. 在登錄時,LoginContext對象調用每個LoginModule對象的login()方
法。
3. 每個login()方法進行驗證操作或獲得一個CallbackHandle對象。
4. CallbackHandle對象通過使用一個或多個CallBack方法同用戶進行交互
,獲得用戶輸入。
5. 向一個新的Subject對象中填入驗證信息。
我們將對代碼作進一步的解釋。但是在這之前,讓我們先看代碼中涉及到
的核心JAAS類和接口。這些類可以被分爲三種類型:
普通類型 Subject,Principal,憑證
驗證 LoginContext,LoginModule,CallBackHandler,Callback
授權 Policy,AuthPermission,PrivateCredentialPermission
上面列舉的類和接口大多數都在javax.security.auth包中。在J2SE 1.4中
,還有一些接口的實現類在com.sun.security.auth包中。
普通類型:Subject,Principal,憑證
Subject類代表了一個驗證實體,它可以是用戶、管理員、Web服務,設備
或者其他的過程。該類包含了三中類型的安全信息:
身份(Identities):由一個或多個Principal對象表示
公共憑證(Public credentials):例如名稱或公共祕鑰
私有憑證(Private credentials):例如口令或私有密鑰
Principal對象代表了Subject對象的身份。它們實現了java.security.Principal
和java.io.Serializable接口。在Subject類中,最重要的方法是getName()
。該方法返回一個身份名稱。在Subject對象中包含了多個Principal對象,因
此它可以擁有多個名稱。由於登錄名稱、身份證號和Email地址都可以作爲用戶
的身份標識,可見擁有多個身份名稱的情況在實際應用中是非常普遍的情況。
在上面提到的憑證並不是一個特定的類或藉口,它可以是任何對象。憑證
中可以包含任何特定安全系統需要的驗證信息,例如標籤(ticket),密鑰或
口令。Subject對象中維護着一組特定的私有和公有的憑證,這些憑證可以通過
getPrivateCredentials()和getPublicCredentials()方法獲得。這些方法
通常在應用程序層中的安全子系統被調用。
驗證:LoginContext
在應用程序層中,你可以使用LoginContext對象來驗證Subject對象。LoginContext
對象同時體現了JAAS的動態可插入性(Dynamic Pluggability),因爲當你創
建一個LoginContext的實例時,你需要指定一個配置。LoginContext通常從一
個文本文件中加載配置信息,這些配置信息告訴LoginContext對象在登錄時使
用哪一個LoginModule對象。
下面列出了在LoginContext中經常使用的三個方法:
login () 進行登錄操作。該方法激活了配置中制定的所有LoginModule對
象。如果成功,它將創建一個經過了驗證的Subject對象;否則拋出LoginException
異常。
getSubject () 返回經過驗證的Subject對象
logout () 註銷Subject對象,刪除與之相關的Principal對象和憑證
驗證:LoginModule
LoginModule是調用特定驗證機制的接口。J2EE 1.4中包含了下面幾種LoginModule
的實現類:
JndiLoginModule 用於驗證在JNDI中配置的目錄服務
Krb5LoginModule 使用Kerberos協議進行驗證
NTLoginModul 使用當前用戶在NT中的用戶信息進行驗證
UnixLoginModule 使用當前用戶在Unix中的用戶信息進行驗證
同上面這些模塊綁定在一起的還有對應的Principal接口的實現類,例如NTDomainPrincipal
和UnixPrincipal。這些類在com.sun.security.auth包中。
LoginModule接口中包含了五個方法:
initialize () 當創建一LoginModule實例時會被構造函數調用
login () 進行驗證
commit () 當LgoninContext對象接受所有LoginModule對象傳回的結果後
將調用該方法。該方法將Principal對象和憑證賦給Subject對象。
abort () 當任何一個LoginModule對象驗證失敗時都會調用該方法。此時
沒有任何Principal對象或憑證關聯到Subject對象上。
logout () 刪除與Subject對象關聯的Principal對象和憑證。
在應用程序的代碼中,程序員通常不會直接調用上面列出的方法,而是通
過LigonContext間接調用這些方法。
驗證:CallbackHandler和Callback
CallbackHandler和Callback對象可以使LoginModule對象從系統和用戶那
裏收集必要的驗證信息,同時獨立於實際的收集信息時發生的交互過程。
JAAS在javax.sevurity.auth.callback包中包含了七個Callback的實現類
和兩個CallbackHandler的實現類:ChoiceCallback、ConfirmationCallback、
LogcaleCallback、NameCallback、PasswordCallback、TextInputCallback、
TextOutputCallback、DialogCallbackHandler和TextCallBackHandler。Callback
接口只會在客戶端會被使用到。我將在後面介紹如何編寫你自己的CallbackHandler
類。