JAAS 为人类服务

Question

我很难理解 JAAS。 这一切似乎比应有的更复杂（尤其是 Sun 教程）。 我需要一个简单的教程或示例，介绍如何在基于 Struts + Spring + Hibernate 和自定义用户存储库的 java 应用程序中实现安全性（身份验证 + 授权）。 可以使用ACEGI来实现。

Answer 1

其他用户在上面提供了一些非常有用的链接，因此我不会费心链接。 我对 Web 应用程序的 JAAS 进行了类似的研究，但遇到了“思想障碍”，直到我最终意识到 JAAS 是一个在与 Java 世界中的 Web 应用程序不同“层”处理安全问题的框架。 它的构建是为了解决 Java SE 中的安全问题，而不是 Java EE 中的安全问题。

JAAS 是一个安全框架，旨在保护比 Web 应用程序低得多的级别的事物。 其中一些示例是 JVM 级别可用的代码和资源，因此所有这些功能都可以在 JVM 级别设置策略文件。

然而，由于 Java EE 构建在 Java SE 之上，因此 JAAS 中的一些模块在 Java EE 安全性中被重用，例如 LoginModules 和 Callbacks。

请注意，除了 Java EE 安全性之外，还有 Spring 安全性（以前称为 Acegi），它与本机 Java EE 安全性类似，解决了保护 Web 应用程序问题中更高的“层”。 它是一个单独的安全实现，并不是构建在标准 Java EE 安全之上，尽管它在许多方面的行为相似。

总而言之，除非您希望保护 Java SE 级别的资源（类、系统资源），否则除了使用公共类和接口之外，我看不到 JAAS 的任何实际用途。 只需专注于使用 Spring Security 或普通的旧 Java EE 安全性，它们都可以解决许多常见的 Web 应用程序安全问题。

Answer 2

以下是我用来帮助理解 JAAS 的一些链接：

http://www.owasp.org /index.php/JAAS_Tomcat_Login_Module

http:// www.javaworld.com/jw-09-2002/jw-0913-jaas.html

http:// jaasbook.wordpress.com/

http://roneiv.wordpress.com/2008/02/18/jaas-authentication-mechanism-is-it-possible-to-force -j_security_check-to-go-to-a-specific-page/

另请参阅 Apache tomcat 领域配置方法：

http://tomcat.apache.org/tomcat-6.0-doc/realm-howto.html

Answer 3

javax.security 是一个过于复杂的 API。 因此，不仅有 LoginModules 的实现者，还有整个身份验证和授权 api 的实现者，它们在上面创建了抽象层，例如 Authentication 和 Authenticator。 授权经理。

对于初学者来说，最好打印 this< /a>进入你的记忆。

其次，恕我直言，最简单的是设置和设置。 JAAS 的 go 库是 Jboss PicketBox。 它说明了如何通过 JBossAuthenticationManager 和 JBossAuthorizationManager 进行身份验证和授权...通过 XML 或注释轻松配置。 您可以使用它来管理网络应用程序和独立应用程序。

如果您需要授权部分来管理存储库访问，就资源的 ACL 而言，这就是您所需要的。

安全性问题是，通常您需要根据您的需要对其进行自定义，因此您最终可能会实现：

LoginModule - 验证用户名+密码

CallbackHandler像这样使用< code>new LoginContext("Sample", new MyCallbackHandler());

CallbackHandler 被传递到底层 LoginModule，以便它们可以与用户通信和交互 - 例如，通过图形用户界面提示输入用户名和密码。 因此，在处理程序内部，您从用户那里获取用户名和密码，并将其传递给 LoginModule。

LoginContext - 然后你只需调用 lc.login(); 并验证凭据。 LoginContext 填充有经过身份验证的主题。

然而，Jboss picketbox 为您提供了一种非常简单的方法，除非您需要特定的东西。

Answer 4

lsiu 的答案是这里真正“明白”的少数几个答案之一；）

除此之外，关于此主题的一个非常好的参考是 JAAS 发生了什么？。

它解释了 JASPIC 如何成为 Java EE 中 Servlet 和 EJB 安全模型以及潜在的 JAAS 登录模块之间的链接，但在许多情况下，JAAS 的角色被简化为 Java EE 中相对简单的用户名和角色提供者。

来自同一作者的JAAS in the Enterprise，这是一篇较旧的文章，但提供了很多内容关于 Java SE (JAAS) 和 Java EE 模型为何如此不同的历史背景。

总的来说，JAAS 中的一些类型直接在 Java EE 中使用，基本上是 Principal 、 Subject 和 CallbackHandler 。 后两者主要由JASPIC 使用。 我在文章 在 Java EE 中实现容器身份验证中解释了 JASPIC贾斯皮克。

Answer 5

我不能对 JAAS 本身说太多，但是这个 " 建议的步骤“ Spring Security 指南和参考手册是关于 Spring Security 的两个非常好的资源 - 如果您的设置非常简单，那么除了阅读这些之外，您实际上不需要做更多的事情。

Answer 6

有关纯粹的 JAAS 教程，请查看此 。 它很旧，但应该有助于 JAAS 基础知识。