JAAS简介及实例

最新推荐文章于 2023-07-13 21:45:00 发布
最新推荐文章于 2023-07-13 21:45:00 发布
阅读量508 收藏 2
点赞数
分类专栏: Java 文章标签: Security 配置管理 防火墙 设计模式 Bean

JAAS是对JCE安全框架的重要补充,通过提供认证用户和确定用户授权来增强JAVA解决方案的动态安全性,使得资源能够得到很好得到保护和控制(JAAS使用动态的安全策略来定义权限,而不是将其静态的嵌入到代码中)。

JAAS采用的是插件的运行方式,一开始就被设计成可插拔的(Pluggable),根据应用的需要,只要配置一下JAAS的配置文件,这些组件即可包含 在我们的应用程序中。使用JAAS包接口,开发者和第三方可以开发一些组件或者BEAN来实现登陆认证,或者通过与使用者或外部的系统的进行交互来访问认 证信息(当然我们可以设计更为稳妥安全的密码学协议)。JAAS提供了一组用于用户鉴别的类和接口,这意味着支持JAAS的应用会要求用户登陆,同时 JAAS提供了另一组用于用户授权的类和接口。在讨论例子之前,先对JAAS API中常用的一些类和接口做个简单的说明。

LoginModule :确认用户的合法性(使用CallbackHandler或者其他类方法),并分配访问权限principal给subject;

LoginContext:为了实现用户鉴别,建立相应的环境,从配置文件中导入规则;

CallbackHandler:回调处理器,负责与用户(代码拥有者和执行者)交互,确认其身份的合法性;

Subject:表示登陆处理的目标,即一个被鉴别的用户。并可关联一个或多个pirncipal;

Principal:表示具有访问权限的一个实体,可以看作是可以执行某种操作的证件。

理解这些类和接口的关系我给个生动的比方:一个军事学校,入学的时候校方(LoginModule)根据学生(Subject)的入学通知来确定其合法 性,这个过程交由某工作人员(CallbackHandler)执行,(CallbackHandler)确认后,(LoginModule)给不同 (Subject)根据其身份发给相关的证件(Principal),有了该证件就可以访问对应的资源,(Subject)根据自己的 (Principal)的级别可以使用和访问学校不同资源。

一个(Subject)的(Principal)如果是士官级,那么可以访问的资源就相对少些,如果是将军级那就多些。当然一个(Subject)可以拥有多个(Principal)。

通过分析我们会发现,JAAS采用的也是身份检查+权限分配模式。因此JAAS的应用也分成两个部分:(1)认证;(2)授权。过程是先认证后根据身份来授权(有歧视的嫌疑的东东,本人可是反歧视人士)。

那么JAAS是如何实现认证的呢?又是如何实现授权的呢?且听我慢慢分解,将其妙处展现给大家。

二 JAAS的认证原理

(1) 设置JAAS配置文件,关于配置非常有技巧,跟设置防火墙的过滤规则有得一拼;

(2) 根据JAAS配置文件的条目加载一个或者多个LoginModule(通常一个,也可以变态得使用多个);

(3) 为了管理用户认证的有关过程,将提供一个可选的LoginModule构造函数和一个回调处理器CallbackHandler。如果没有在构造函数中提供回调处理器,系统采用默认设置;

(4) 初始并实例化LoginContext(加载配置规则),如果成功,则调用LoginContext的login方法。无论是否需 要,LoginContext都会去首先读取JAAS配置文件,从中获得要加载的登陆模块信息,其initialize方法将按照配置文件中的相关内容提 供LoginModule运行所需要的信息;

(5) LoginContext的login方法将调用LoginModule的login方法,确定用户身份。该方法将设置相关的回调,并由回调处理器CallbackHandler来管理登陆处理回调;

(6) LoginModule的login方法将负责与用户进行交互(可能是人机交互,也可能是机机交互),如果用户输入信息无效,则该方 法返回FALSE,一次交互过程结束,如果用户输入信息有效,则该方法将设置Principal对象的Subject对象,并返回TRUE;当然 LoginModule也可以将与用户之间的所有交互过程全部委托给处理器CallbackHandler来处理。如果登陆成功, LoginContext将调用LoginModule的commit方法将结果提交给LoginModule实例的内部状态。


 在应用程序中使用JAAS验证通常会涉及到以下几个步骤:

  1. 创建一个LoginContext的实例。

  2. 为了能够获得和处理验证信息,将一个CallBackHandler对象作为参数传送给LoginContext。

  3. 通过调用LoginContext的login()方法来进行验证。

  4. 通过使用login()方法返回的Subject对象实现一些特殊的功能(假设登录成功)。

  下面是一个简单的例子:

      SimpleLogin.java
       

package com;

import javax.security.auth.login.LoginContext;
import javax.security.auth.login.LoginException;

public class SimpleLogin {
	
	public static void main(String[] args) {
		
		// 建立登陆上下文,并通过配置文件初始化,在这里配置文件必须与程序同目录
		LoginContext loginContext = null;
		try {
			                               
			loginContext = new LoginContext("simple", new SimpleCallbackHandle());
		} catch (LoginException e) {
			
			System.out.println(e.getMessage());
		}
		
		try {
			
			// 如果不抛出异常表示验证成功
			loginContext.login();
		} catch (LoginException e) {
			
		}
	}
	
}

 


   
   SimpleCallbackHandle.java
    

package com;

import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import javax.security.auth.callback.Callback;
import javax.security.auth.callback.CallbackHandler;
import javax.security.auth.callback.NameCallback;
import javax.security.auth.callback.PasswordCallback;
import javax.security.auth.callback.UnsupportedCallbackException;

public class SimpleCallbackHandle implements CallbackHandler {

	public void handle(Callback[] callbacks) throws IOException,
			UnsupportedCallbackException {

		for (Callback callback : callbacks) {

			if (callback instanceof NameCallback) {
				NameCallback nc = (NameCallback) callback;
				
				System.out.print(nc.getPrompt());
		 		System.out.flush();
		 		
				nc.setName((new BufferedReader(new InputStreamReader(
								System.in))).readLine());
			} else if (callback instanceof PasswordCallback) {
				PasswordCallback pcb = (PasswordCallback) callback;
				
				System.out.print(pcb.getPrompt());
		 		System.out.flush();
				pcb.setPassword((new BufferedReader(new InputStreamReader(
						System.in))).readLine().toCharArray());
			}
		}
	}
}

 

 

 

SimpleLoginModule.java

 

 

package com;

import java.io.IOException;
import java.util.Map;

import javax.security.auth.Subject;
import javax.security.auth.callback.Callback;
import javax.security.auth.callback.CallbackHandler;
import javax.security.auth.callback.NameCallback;
import javax.security.auth.callback.PasswordCallback;
import javax.security.auth.callback.UnsupportedCallbackException;
import javax.security.auth.login.LoginException;
import javax.security.auth.spi.LoginModule;

public class SimpleLoginModule implements LoginModule{

	private String userName;
	
    private char[] password;
    
    private Subject subject;
    
    private CallbackHandler callbackHandler;
    
    private Map sharedState;
    
    private Map options;
    
    private String debug;
    
	public boolean abort() throws LoginException {
		System.out.println("abort()");
		return false;
	}

	public boolean commit() throws LoginException {
		System.out.println("commit()");
		return false;
	}

	public void initialize(Subject subject, CallbackHandler callbackHandler,
			Map sharedState, Map options) {
		
		this.subject = subject;
		this.callbackHandler = callbackHandler;
		this.sharedState = sharedState;
		this.options = options;
		
		debug = (String)options.get("debug");
	}

	public boolean login() throws LoginException {
		
		Callback[] callbacks = new Callback[2];
		callbacks[0] = new NameCallback("用户名: ");
		callbacks[1] = new PasswordCallback("密码: ", false);
		
		try {
			
			callbackHandler.handle(callbacks);
			userName = ((NameCallback)callbacks[0]).getName();
			password = ((PasswordCallback)callbacks[1]).getPassword();
			
			if(debug.equals("true")){
				System.out.println("你输入的用户名为:" + userName);
				System.out.println("你输入的密码为:" + new String(password));
			}
			
			if(userName.equals("callan") && new String(password).equals("callanpass")){
				System.out.println("验证成功");
				return true;
			} else {
				System.out.println("验证失败");
				userName = null;
				password = null;
			}
		} catch (IOException e) {
			e.printStackTrace();
		} catch (UnsupportedCallbackException e) {
			e.printStackTrace();
		}
		
		return false;
	}

	public boolean logout() throws LoginException {
		System.out.println("logout()");
		return false;
	}

}

 

 

jaas.config

 

simple {
   com.SimpleLoginModule required debug=true;
};

 

  

将代码编辑通过后执行以下命令:

java -Djava.security.auth.login.config==jaas.config com.SimpleLogin

 

callan
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
javajava 安全 jaas 文件 何时 解析 以及 怎么解析的
九师兄
04-13 314
1.概述 在做kerberos的时候,我们往往要传入一个jaas文件,然后进行权限认证,那么这个文件是何时解析的,怎么解析的呢? 2.何时解析 假设我们有一个jaas文件,然后内容如下 Server { com.sun.security.auth.module.Krb5LoginModule required useKeyTab=true keyTab="/home/mr/mr.keytab" storeKey=true useTicketCache=false principal.
JAAS使用
zc0565的博客
11-05 4705
简介 Java 验证和授权服务(Java Authentication Authorization Service,简称 JAAS)是 Java 在 JDK 1.4 引入的安全框架。JAAS 提供了一种灵活的、说明性机制,用于对用户进行身份验证和服务访问的授权。 JAAS 是一种可插拔的认证模块( Pluggable Authentication Module,PAM )的安全体系结构。这意味着可...
安全:JAAS LoginModule
jredfox
04-29 458
原文:http://www.hibernate.org/139.html 译者:jredfox Java认证和授权API(JAAS)为应用程序处理用户的认证和授权问题提供了标准方式。很多人在Unix/Linux系统中比较JAAS和PAM模块。 本文不对JAAS进行详细的讨论,但给大家简单的介绍一下。在JAAS架构中,当用户登录系统时,系统给用户一个Subject,Subject中包含有一...
JAAS:灵活的Java安全机制
oicqren的专栏
11-24 1548
  Java Authentication Authorization Service(JAASJava验证和授权API)提供了灵活和可伸缩的机制来保证客户端或服务器端的Java程序。Java早期的安全框架强调的是通过验证代码的来源和作者,保护用户避免受到下载下来的代码的攻击。JAAS强调的是通过验证谁在运行代码以及他/她的权限来保护系统面受用户的攻击。它让你能够将一些标准的安全机制,例如S
简单的基于JAAS实现登录
janusdo的专栏
01-07 195
在贴出windows集成认证代码之前,先用一个简单的例子来介绍JAAS。         Java Authentication Authorization Service(JAASJava验证和授权API)提供了灵活和可伸缩的机制来保证客户端或服务器端的Java程序。Java早期的安全框架强调的是通过验证代码的来源和作者,保护用户避免受到下载下来的代码的攻击。JAAS强调的是通过验证谁在运...
JAAS基础认证和授权机制(转载)
sui102的专栏
02-09 451
安全性是所有可以用来对资源进行保护和验证的机制。有很多种安全模型都可以用来对数据提供保护。这些安全模型可以使用加密、访问控制或其他安全方法。授权(Authorization),或称为访问控制,可以使用不同的安全服务来对资源进行保护:一种方法是Java认证和授权服务(Java Authentication and Authorization Service,JAAS),另外一种方法是Windows ...
JAAS简介实例.
04-28
JAAS简介实例.JAAS简介实例.JAAS简介实例.JAAS简介实例.JAAS简介实例.JAAS简介实例.JAAS简介实例.
tomcat_jaas_demo
06-02
tomcat下jaas配置实例(文档有不完善的地方) 1、需要修改 bin\startup.bat(根据自己的环境修改) SET JAVA_HOME=C:\programs\Java\jdk1.8.0_211 SET TOMCAT_HOME=C:\programs\apache-tomcat-5.5.20 2、需要修改 bin...
Java安全——JAAS
最新发布
多头注意力探索Now
07-13 1045
JAAS框架认识理解
Java认证与授权服务JAAS基础概念
不见其长,日有所长
07-07 1890
1. 前言 JAAS是”Java Authentication and Authorization Service“的缩写,它提供了认证与授权的基础框架与接口定义,而且提供了良好的插件化机制。本文主要探讨JAAS的基础概念,这些概念也是认证与授权技术中的常用概念。 2. Subject 如果要授权访问一些资源,需要先对资源请求主体进行认证。JAAS框架中,使用Subject来描述这个资源请求主体与安全访问相关的信息,因此,一个Subject通常是指一个对象实体,或者一个服务。 Subject中所关联的信息,
Liferay 的JAAS权限管理
๑۩۞۩๑ oiote的专栏 ๑۩۞۩๑
07-19 1682
 Liferay的权限管理实现了一个典型的JAAS管理策略JAAS是什么?Java Authentication Authorization Service(JAASJava验证和授权API)提供了灵活和可伸缩的机制来保证客户端或服务器端的Java程序。JAAS强调的是通过验证谁在运行代码以及他/她的权限来保护系统面受用户的攻击。它能够将一些标准的安全机制,例如Solaris NIS
JAAS 是个什么梗
Microstrong
12-13 3137
转载地址:https://www.cnblogs.com/youxia/p/java006.html 参考资料 该文中的内容来源于 Oracle 的官方文档。Oracle 在 Java 方面的文档是非常完善的。对 Java 8 感兴趣的朋友,可以从这个总入口 Java SE 8 Documentation 开始寻找感兴趣的内容。本博客不定期从 Oracle 官网搬砖。这一篇主要讲
JAAS介绍
成长是一个持续的过程
07-13 3807
JAAS介绍 1、JAAS是什么? JAAS---Java Authentication Authorization Service(JAASJava验证和授权服务)。 2、JAAS背景 从早期所谓的 Java 沙箱到 JDK 1.4 引入的健壮的、全功能的安全体系结构,安全性一直是 Java 平台的基本组件。从那时到现在,Java 语言的设计者收到了来自团体的大量关于安全的
JAAS(Java 认证和授权服务)
[email protected]
02-26 842
传统的JAVA安全机制没有提供必要的架构支持传统的认证和授权;在J2SE里的安全是基于公钥密码体系和代码签名。也就是说,认证是基于在JVM里执行代码的思想,并且没有对资源请求提供策略。而且授权也是基于这样的概念--代码试图去使用一个计算机资源。Java认证和授权服务(JAAS)也就被设计成去应付这些缺点。 JAAS使用基于用户的的访问控制增加了这个已经存在的基于代码的访问控制机制,也提高了认证能力...
JAAS 认证过程
[email protected]
02-26 707
本文通过一个示例说明 JAAS Authentication 过程。 运行示例 运行示例分三步: 获取代码,编译代码,运行示例 获取代码 $ git clone [email protected]:kylinsoong/security-examples.git 编译代码 $ cd security-examples/jaas-authentication-tutorial $ mvn...
JAAS概述以及Jboss安全性配置
工作点滴
05-25 1050
Java 鉴别与授权服务(JAASJAAS(Java Authentication and Authorization Service)可以在Java 平台上提供用户身份鉴别。在Java 平台上,其功能是独一无二的。 Java 安全设计的所有核心功能都是为了保护终端用户不受程序开发者的影响,由于终端用户为了使用开发者提供的程序,不得不满足其对本地资源的存取要求,这就要求 必须保证用户不受到
基于JAAS实现登录
小晖Allen的专栏
12-21 845
JAASJava Authentication and Authorization Service,提供了认证和授权框架。本例是认证的实现,JAAS定义了可插拔的认证机制,使认证逻辑独立开来,可通过修改配置文件切换认证模块。官方参考:http://java.sun.com/products/archive/jaas/http://java.sun.com/j2se/1.4.2/docs/
Hadoop安全模式+JAAS原理及实现
tian的博客
07-05 905
1. Authentication kerberos 2. Proxy user 3. Secure DataNode Because the DataNode data transfer protocol does not use the Hadoop RPC framework, DataNodes must authenticate themselves using...
jaas kerberos
05-31
JAASJava Authentication and Authorization Service)是Java平台上的一项身份验证和授权服务,它提供了一种标准的方式来管理应用程序的安全性。其中,Kerberos是一种网络认证协议,它提供了一种安全的身份验证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值