如何在代码中的任意点访问 JAAS 角色？

Question

我想访问用户的完整模型及其在 SOAP 应用程序中的角色。 例如，我可能想知道名为“Fred”的用户的角色。

如何访问某种全局 JAAS 注册表并执行（伪代码）globalRegistry.getUser("Fred").getPrincipals()？ （请注意，在 JAAS 中，角色由 Principal 表示。）

我知道如何从 Subject 中获取 Principal >LoginContext，但这有两个问题。

1. 仅在登录时，我不想自己编写上述注册表并存储 Subject 和 Principal 对象，因为它们已经由应用程序服务器。
2. 最好，即使 Fred 不是当前用户，我也希望能够访问此信息。

我正在使用 Jetty，但我认为这些行为是 JAAS 的标准行为。

Answer 1

我看到的一种模式是：

AccessControlContext acc = AccessController.getContext();
Subject subject = Subject.getSubject(acc);
Set<Principal> principals = subject.getPrincipals();

本质上，这会找到当前与当前线程关联的主题，并询问其主体。

使用此功能的一个示例是 Apache Jackrabbit 的 RepositoryImpl。 它位于 extendAuthentication 方法中，该方法的作用是确定当前线程在创建新会话时拥有哪些 Jackrabbit 权限（我认为）。

然而，我应该指出，这可能不一定真正有效，至少在 J2EE 上下文中是这样。 我在 JBoss AS7 下使用此代码，但它没有找到主题。 不过，这可能只是一个错误。

Answer 2

我们使用 ThreadLocal 变量来引用当前用户，该用户已在系统入口点（在我们的例子中为 servlet 或 ejb）进行了身份验证。 这允许对当前用户进行“全局”访问。 这不直接与 JAAS 或任何其他安全协议相关，但可以从它们初始化。

编辑：ThreadLocal 的返回是当前用户的主题。

访问其他用户通常是通过某种类型的管理模块来完成的。

Answer 3

对我来说，这似乎将 appsever 的用户、组等与 J2EE 应用程序角色混合在一起。

• 获取特定用户的权限是一项管理任务，通常必须使用特定于应用程序服务器的 API 来完成。
• JAAS 编程模型适用于更高层次的抽象。 它仅提供用户是否处于 J2EE 角色（在应用程序内定义）的信息

Answer 4

我相信 JAAS 的设计目的并不是真正允许您尝试做的事情。 我知道在我构建的应用程序中，我需要那种功能，我必须回避 JAAS 并直接编程到任何实际的身份存储库，无论是 LDAP、ActiveDirectory 还是其他。

Answer 5

在 EJB 中使用

@Resource(mappedName = "java:comp/EJBContext")
protected SessionContext sessionContext;

并在任何时候尝试使用 context.lookup("java:comp/EJBContext") 。

---

此代码适用于 JBoss 服务器系列，供其他人在其 JNDI 中查找。