JAAS 简介

最新推荐文章于 2025-09-06 13:04:52 发布

最新推荐文章于 2025-09-06 13:04:52 发布 · 246 阅读

文章标签：

Java Authentication Authorization Service（JAAS，Java验证和授权API）提供了灵活和可伸缩的机制来保证客户端或服务器端的Java程序。Java早期的安全框架强调的是通过验证代码的来源和作者，保护用户避免受到下载下来的代码的攻击。JAAS强调的是通过验证谁在运行代码以及他／她的权限来保护系统面受用户的攻击。它让你能够将一些标准的安全机制，例如Solaris NIS（网络信息服务）、Windows NT、LDAP（轻量目录存取协议），Kerberos等通过一种通用的，可配置的方式集成到系统中。

JAAS简介

　　Java安全框架最初集中在保护用户运行潜在的不可信任代码，是基于代码的来源（URL）和谁创建的代码（certificate）来给移动代码进行授权。Java 2 SDK 1.3引入了JAAS（ Java Authentication and Authorization Service）,增加了基于用户的访问控制能力，即根据谁在运行代码来进行授权。JAAS已经整合进了Java 2 SDK 1.4，作为标准的用户认证与授权模型。

JAAS用户认证框架

　　JAAS认证被实现为可插入的方式，允许应用程序同底层的具体认证技术保持独立，新增或者更新认证方法并不需要更改应用程序本身。应用程序通过实例化LoginContext对象开始认证过程，引用配置文件中的具体认证方法，即LoginModule对象，来执行认证。

JAAS：可插入式认证

　　一旦执行代码的用户通过了认证，JAAS授权组件将和核心Java 访问控制模型一起工作，来保护对敏感资源的访问。从J2SDK 1.4开始，访问控制不仅基于代码的来源和签名者（CodeSource），而且还要检查谁在运行代码。执行代码的用户被表现为Subject对象，如果LoginModule认证成功，Subject对象被更新为相应的Principals和credentials。25.1.1. 一个简单的例子

　　本节通过一个简单的例子介绍JAAS开发的基本步骤。本节中的范例位于Apusic 应用服务器安装目录中的docs/samples/jaas/simple目录。有关范例的内容、编译、部署与运行，可参考docs/samples/jaas/simple目录下的readme.txt文件。

　　范例程序的代码分为两部分，一部分为主程序，执行用户认证过程，源程序如下：

　　package samples;

　　import javax.security.auth.Subject;

　　import javax.security.auth.login.LoginContext;

　　import javax.security.auth.login.LoginException;

　　import com.sun.security.auth.callback.TextCallbackHandler;

　　public class CountFiles {

　　static LoginContext lc = null;

　　public static void main(String[] args) {

　　//使用配置文件中名字为“CountFiles”的条目

　　try {

　　lc = new LoginContext("CountFiles",

　　new TextCallbackHandler());

　　} catch (LoginException le) {

　　le.printStackTrace();

　　System.exit(-1);

　　}

　　try {

　　lc.login();

　　//如果没有异常抛出，则表示认证成功

　　} catch (Exception e) {

　　System.out.println("Login failed: " + e);

　　System.exit(-1);

　　}

　　//以认证用户的身份执行代码

　　Object o = Subject.doAs(lc.getSubject(), new CountFilesAction());

　　System.out.println("User " + lc.getSubject( ) + " found " + o + " files.");

　　System.exit(0);

　　}

　　可以看出，主程序包含了三个重要的步骤：首先构造一个LoginContext对象，然后使用这个对象进行登录，最后，把用户作为doAs方法一个参数。

　　另一部分表示用户想要执行的具体操作，源程序如下：

　　package samples;

　　import java.io.File;

　　import java.security.PrivilegedAction;

　　class CountFilesAction implements PrivilegedAction {

　　public Object run() {

　　File f = new File(".");

　　File[] files = f.listFiles();

　　return new Integer(files.length);

　　}

25.1.2. JAAS核心类和接口

　　JAAS相关的核心类和接口分为三类，公共、认证和授权。

　　公共类：Subject,，Principal，Credential

　　认证类和接口：LoginContext，LoginModule，CallbackHandler，Callback

　　授权类：Policy，AuthPermission，PrivateCredentialPermission

　　详细的描述请参考《JAAS Reference Guide》。

　　25.1.3. 配置LoginModules

　　JAAS认证被实现为一种可插入的方式，系统管理员可以通过配置文件为每一个应用程序配置LoginModuls来决定应用程序使用的认证技术。配置信息可以保存在文件或数据库中，通过javax.security.auth.login.Configuration对象进行读取。javax.security.auth.login.Configuration为抽象类，JDK提供了可实例化的子类com.sun.security.auth.login.ConfigFile，从文件中读取配置信息。配置文件中包含一个或多个条目，每一个条目指明了特定应用程序使用的认证方法。条目的结构如下：

　　<name used by application to refer to this entry> {

　　<LoginModule> <flag> <LoginModule options>;

　　<optional additional LoginModules, flags and options>;

　　};

　　可以看出，每一个条目由名字和一个或多个LoginModule组成。范例程序使用的配置文件login.conf内容如下：

　　CountFiles {

　　com.apusic.security.auth.login.ClientPasswordLoginModule required;

　　};

　　详细的描述信息可以参考Configuration。