JAAS:灵活的Java安全机制[转]

摘要：

　　Java Authentication Authorization Service（JAAS，Java验证和授权API）提供了灵活和可伸缩的机制来保证客户端或服务器端的Java程序。Java早期的安全框架强调的是通过验证代码的来源和作者，保护用户避免受到下载下来的代码的攻击。JAAS强调的是通过验证谁在运行代码以及他／她的权限来保护系统面受用户的攻击。它让你能够将一些标准的安全机制，例如Solaris NIS（网络信息服务）、Windows NT、LDAP（轻量目录存取协议），Kerberos等通过一种通用的，可配置的方式集成到系统中。本文首先向你介绍JAAS验证中的一些核心部分，然后通过例子向你展示如何开发登录模块。

　　你是否曾经需要为一个应用程序实现登录模块呢？如果你是一个比较有经验的程序员，相信你这样的工作做过很多次，而且每次都不完全一样。你有可能把你的登录模块建立在Oracle数据库的基础上，也有可能使用的是NT的用户验证，或者使用的是LDAP目录。如果有一种方法可以在不改变应用程序级的代码的基础上支持上面提到的所有这一些安全机制，对于程序员来说一定是一件幸运的事。

　　现在你可以使用JAAS实现上面的目标。JAAS是一个比较新的的Java API。在J2SE 1.3中，它是一个扩展包；在J2SE 1.4中变成了一个核心包。在本文中，我们将介绍JAAS的一些核心概念，然后通过例子说明如何将JAAS应用到实际的程序中。本文的例子是根据我们一个基于Web的Java应用程序进行改编的，在这个例子中，我们使用了关系数据库保存用户的登录信息。由于使用了JAAS，我们实现了一个健壮而灵活的登录和身份验证模块。

　　Java验证和授权：概论

　　在JAAS出现以前，Java的安全模型是为了满足跨平台的网络应用程序的需要而设计的。在Java早期版本中，Java通常是作为远程代码被使用，例如Applet，。因此最初的安全模型把注意力放在通过验证代码的来源来保护用户上。早期的Java安全机制中包含的概念，如SercurityManager，沙箱概念，代码签名，策略文件，多是为了保护用户。

　　JAAS的出现反映了Java的演变。传统的服务器／客户端程序需要实现登录和存取控制，JAAS通过对运行程序的用户的进行验证，从而达到保护系统的目的。虽然JAAS同时具有验证和授权的能力，在这篇文章中，我们主要介绍验证功能。

　　通过在应用程序和底层的验证和授权机制之间加入一个抽象层，JAAS可以简化涉及到Java Security包的程序开发。抽象层独立于平台的特性使开发人员可以使用各种不同的安全机制，而且不用修改应用程序级的代码。和其他Java Security API相似，JAAS通过一个可扩展的框架：服务提供者接口（Service Provider Interface，SPI）来保证程序独立于安全机制。服务提供者接口是由一组抽象类和接口组成的。图一中给出了JAAS程序的整体框架图。应用程序级的代码主要处理LoginContext。在LoginContext下面是一组动态配置的LoginModules。LoginModule使用正确的安全机制进行验证。

　　图一给出了JAAS的概览。应用程序层的代码只需要和LoginContext打交道。在LoginContext之下是一组动态配置的LoginModule对象，这些对象使用相关的安全基础结构进行验证操作。

LoginContext lc = new LoginContext("MyExample");

// Authentication successful, we can now continue.
// We can use the returned Subject if we like.
Subject sub = lc.getSubject();
Subject.doAs(sub, new MyPrivilegedAction());
　　在运行这段代码时，后台进行了以下的工作。

　　1. 当初始化时，LoginContext对象首先在JAAS配置文件中找到MyExample项，然后更具该项的内容决定该加载哪个LoginModule对象（参见图二）。

　　2. 在登录时，LoginContext对象调用每个LoginModule对象的login（）方法。

　　3. 每个login（）方法进行验证操作或获得一个CallbackHandle对象。

　　4. CallbackHandle对象通过使用一个或多个CallBack方法同用户进行交互，获得用户输入。

　　5. 向一个新的Subject对象中填入验证信息。

　　我们将对代码作进一步的解释。但是在这之前，让我们先看代码中涉及到的核心JAAS类和接口。这些类可以被分为三种类型：

　　普通类型 Subject，Principal，凭证

　　验证 LoginContext，LoginModule，CallBackHandler，Callback

　　授权 Policy，AuthPermission，PrivateCredentialPermission

　　上面列举的类和接口大多数都在javax.security.auth包中。在J2SE 1.4中，还有一些接口的实现类在com.sun.security.auth包中。

　　普通类型：Subject，Principal，凭证

　　Subject类代表了一个验证实体，它可以是用户、管理员、Web服务，设备或者其他的过程。该类包含了三中类型的安全信息：

　　 身份（Identities）：由一个或多个Principal对象表示

　　 公共凭证（Public credentials）：例如名称或公共秘钥

　　 私有凭证（Private credentials）：例如口令或私有密钥

　　Principal对象代表了Subject对象的身份。它们实现了java.security.Principal和java.io.Serializable接口。在Subject类中，最重要的方法是getName（）。该方法返回一个身份名称。在Subject对象中包含了多个Principal对象，因此它可以拥有多个名称。由于登录名称、身份证号和Email地址都可以作为用户的身份标识，可见拥有多个身份名称的情况在实际应用中是非常普遍的情况。

　　在上面提到的凭证并不是一个特定的类或借口，它可以是任何对象。凭证中可以包含任何特定安全系统需要的验证信息，例如标签（ticket），密钥或口令。Subject对象中维护着一组特定的私有和公有的凭证，这些凭证可以通过getPrivateCredentials（）和getPublicCredentials（）方法获得。这些方法通常在应用程序层中的安全子系统被调用。

　　验证：LoginContext

　　在应用程序层中，你可以使用LoginContext对象来验证Subject对象。LoginContext对象同时体现了JAAS的动态可插入性（Dynamic Pluggability），因为当你创建一个LoginContext的实例时，你需要指定一个配置。LoginContext通常从一个文本文件中加载配置信息，这些配置信息告诉LoginContext对象在登录时使用哪一个LoginModule对象。

　　下面列出了在LoginContext中经常使用的三个方法：

　　login () 进行登录操作。该方法激活了配置中制定的所有LoginModule对象。如果成功，它将创建一个经过了验证的Subject对象；否则抛出LoginException异常。

　　getSubject () 返回经过验证的Subject对象

　　logout () 注销Subject对象，删除与之相关的Principal对象和凭证

　　验证：LoginModule

　　LoginModule是调用特定验证机制的接口。J2EE 1.4中包含了下面几种LoginModule的实现类：

　　JndiLoginModule 用于验证在JNDI中配置的目录服务

　　Krb5LoginModule 使用Kerberos协议进行验证

　　NTLoginModul 使用当前用户在NT中的用户信息进行验证

　　UnixLoginModule 使用当前用户在Unix中的用户信息进行验证

　　同上面这些模块绑定在一起的还有对应的Principal接口的实现类，例如NTDomainPrincipal和UnixPrincipal。这些类在com.sun.security.auth包中。

　　LoginModule接口中包含了五个方法：

　　initialize () 当创建一LoginModule实例时会被构造函数调用

　　login () 进行验证

　　commit () 当LgoninContext对象接受所有LoginModule对象传回的结果后将调用该方法。该方法将Principal对象和凭证赋给Subject对象。
　　
　　abort () 当任何一个LoginModule对象验证失败时都会调用该方法。此时没有任何Principal对象或凭证关联到Subject对象上。

　　logout () 删除与Subject对象关联的Principal对象和凭证。

　　在应用程序的代码中，程序员通常不会直接调用上面列出的方法，而是通过LoginContext间接调用这些方法。

　　验证：CallbackHandler和Callback

　　CallbackHandler和Callback对象可以使LoginModule对象从系统和用户那里收集必要的验证信息，同时独立于实际的收集信息时发生的交互过程。
　　
　　JAAS在javax.sevurity.auth.callback包中包含了七个Callback的实现类和两个CallbackHandler的实现类：ChoiceCallback、ConfirmationCallback、LogcaleCallback、NameCallback、PasswordCallback、TextInputCallback、TextOutputCallback、DialogCallbackHandler和TextCallBackHandler。Callback接口只会在客户端会被使用到。我将在后面介绍如何编写你自己的CallbackHandler类。

　　配置文件

　　上面我已经提到，JAAS的可扩展性来源于它能够进行动态配置，而配置信息通常是保存在文本。这些文本文件有很多个配置块构成，我们通常把这些配置块称作申请（Application）。每个申请对应了一个或多个特定的LoginModule对象。

　　当你的代码构造一个LoginContext对象时，你需要把配置文件中申请的名称传递给它。LoginContext将会根据申请中的信息决定激活哪些LoginModule对象，按照什么顺序激活以及使用什么规则激活。

　　配置文件的结构如下所示:

String user = request.getParameter("user"); String pass = request.getParameter("pass"); PassiveCallbackHandler cbh = new PassiveCallbackHandler(user, pass); LoginContext lc = new LoginContext("Example", cbh);

　　PassiveCallbackHandler中构造函数的参数包含了用户名和密码。因此它可以在Callbick对象中设定正确的值。下面是PassiveCallbackHandler类的handle（）方法的代码：

　　从上面的代码中可以发现实际上我们只是从ConsoleCallbackHandler中去除了那些提示用户输入的代码。

　　在运行这个JSP例子的时候，我们需要设定系统属性，这样LgoinContext对象才知道如何查找名称为"Example"的配置。我们使用的是Resin服务器。在resin.conf中，我们增加了一个＜caucho.com＞节点：

＜system-property java.security.auth.login.config="/resin/conf/jaas.config"/＞

　　小结

　　JAAS通过提供动态的、可扩展的模型来进行用户验证和控制权限，从而使应用程序有更加健壮的安全机制。同时它还能够让你能够很轻松地创建自己的登录机制。JAAS可以同时在在客户端和服务器端应用程序上工作。虽然在服务器端的JAAS到目前还不是很稳定，但是随着技术的发展，相信会很好地解决这个问题。