JAAS：java授权与认证服务

一.

什么是
JAAS
？

JAAS
（
Java Authentication and Authorization Service
）是一个在
java
中验证用户和给用户授权的可移植性接口。

开发者可以通过两种不同应用场景使用到
JAAS
：

1.

java
单独连接到远程
EJB
系统时

2.

当客户通过
WEB
浏览器连接到
Servlet
或
jsp
时，
WEB
浏览器用户需要提供凭证给
Servlet
或
jsp
层。随后，
Servlet
或
jsp
层能够借助
JAAS
完成用户的认证操作。

为系统增加安全性时，客户端需要通过两个安全措施：

1.

首先，客户端必须通过验证。验证过程合适客户身份。一旦通过验证，在接下来的

会话过程中，这个用户就与一个安全身份相联系。

2.

客户端必须经过授权。客户一旦通过验证，它还必须具有执行相应操作的权限。

二
.
在
WEB
应用中应用
JAAS（以JBOSS服务器环境为例）

WEB
浏览器可以使用多种方法提供身份证明，例如：基本验证，基于表单的验证，摘要验证，正数验证等。这里介绍的是基本验证，即
WEB
客户端想服务器提供一个用户名和密码，这个服务器通过检查存储在永久性数据库中的用户名和密码来验证这些证明身份的信息。

1.

在
WEB
应用中的
web.xml
中声明角色，例如：

<security-role>

<role-name>manager</role-name>

</security-role>

<security-role>

<role-name>user</role-name>

</security-role>

2.
为以声明的角色邦定资源，例如，
manager
可以访问／
WEB-ROOT/manager
目录下的资源，而
manager
和
user
都可以访问
/WEB-ROOT/public
目录下的资源：

<security-constraint>

<web-resource-collection>

<web-resource-name>publicResource</web-resource-name>

<url-pattern>/public/*</url-pattern>

<http-method>POST</http-method>

<http-method>GET</http-method>

</web-resource-collection>

<auth-constraint>

<role-name>mamager</role-name>

<role-name>user</role-name>

</auth-constraint>

</security-constraint>

<security-constraint>

<web-resource-collection>

<web-resource-name>managerResource</web-resource-name>

<url-pattern>/manage/*</url-pattern>

<http-method>POST</http-method>

<http-method>GET</http-method>

</web-resource-collection>

<auth-constraint>

<role-name>manager</role-name>

</auth-constraint>

</security-constraint>

3
．为了收集
WEB
客户端的登录信息，需要在
web.xml
中配置信息输入框，例如：

<login-config>

<auth-method>BASIC</auth-method>

</login-config>

这样就会由浏览器自动弹出登录对话框。

4.
定制用户信息。

A．

如果用户很少，可以将用户信息保存在属性文件中：

users.properties
文件内容：

guest=password

admin=password

Roles.properties
文件内容：

guest=user

admin=manager

注意：两个文件的名字是固定的。

B．

如果用户很多，就需要将用户信息保存到数据库中：

在
%JBOSS_HOME%/server/default/conf/login-config.xml
文件中添加域：

<application-policy
name = "mydomain">

<authentication>

<login-module code =

"org.jboss.security.auth.spi.DatabaseServerLoginModule"

flag = "required">

<module-option name =

"unauthenticatedIdentity">guest</module-option>

<module-option
name =

"dsJndiName">java:/MySqlDS</module-option>

<module-option name =
"principalsQuery">SELECT PASSWD FROM

USERS WHERE USERID=?</module-option>

<module-option name = "rolesQuery">SELECT ROLEID,
'Roles' FROM

ROLES WHERE USERID=?</module-option>

</login-module>

</authentication>

</application-policy>

注意：其中的数据源名字，表名以及字段名根据情况配置。当然这些表是需要事先建好的。

5.

如果
4
中使用的是
B
方法，则还需要添加配置文件来通知服务器要使用自定义的域。

在
WEB-INF
目录下添加
jboss-web.xml
文件，内容如下：

<?xml
version="1.0" encoding="UTF-8"?>

<!DOCTYPE
jboss-web PUBLIC "-//JBoss//DTD Web Application 2.4//EN"
"jboss-web_4_0.dtd" >

<jboss-web>

<security-domain>java:jaas/mydomain</security-domain>

</jboss-web>

这里的
mydomain
就是第四步中添加的域。

三
.
在桌面客户端中应用
JAAS

1
服务器端：

对于非
WEB
项目，所谓的资源就是方法，因此授权与认证也是针对方法来说。

对类使用
@DeclareRoles
标注来声明角色，如：

@DeclareRoles({"leader","member"})
声明了两个角色

对方法授权，使用
@RolesAllowed
，例如：

@RolesAllowed({"leader"})
使
lerder
角色对某个方法具有操作权限

如果某个方法对所有角色都是开放的，可以使用
@PermitAll
标注。

注意：由于服务是由服务器提供实现的，例如
jboss
，所以要对一个类使用

认证与授权服务，必须让服务器的容器来管理它们，应该用
@Stateless

来标注。

2
客户端

在
WEB
环境中，因为有

<login-config>

<auth-method>BASIC</auth-method>

</login-config>

这样的配置，浏览器会自动弹出登录对话框，从而来收集客户端的登录信息。那么

在普通的客户端程序用该如何向服务端发送登录信息呢？

可以使用
SecurityAssociation
的连个静态方法：

SecurityAssociation.setPrincipal(new
SimplePrincipal("hr"))
：设置登录用户名

SecurityAssociation.setCredential("hr")
：设置登录密码

3
认证信息的配置与
WEB
项目中一样（这些是与具体服务器相关的，而非项目）

四．关于可移植性

授权配置是可移植的，因为它是标准
WEB
项目的一部分（在
web.xml
文件中配置）

也就是说，一个项目从一个服务器（例如
JBOSS
）转移到另一个服务器（例如
Weblogic
）

中时，授权配置不用做任何更改。

认证信息就不可以了。认证信息是与服务器相关的，各种服务器的认证信息配置

是不一样的。但是，这些配置都是大同小异。因此，项目移植时，只需要根据服务器

使用文档来修改相关配置即可。