EJB3& JAAS 主题/主体如何从 servlet 容器传播到 EJB 层？

Question

我试图了解 JAAS 主体如何从 Web 层传播到业务/EJB 层。

我读过，如果角色/领域是在 login-config & 中配置的， web.xml 的 security-context 那么 servlet 容器也会透明地将经过身份验证的主体传递到 EJB 层。

两个问题
1.) 首先&更重要的是这是真的吗？无需开发商的任何干预！
2.) 其次，知道它在幕后是如何工作的。

Answer 1

1. 是的，这是真的。这通常是 ejb 的目的，将“困难”的东西从开发人员手中夺走（例如安全性、事务、健壮性、多线程等），
2. 它依赖于实现。我知道在jboss（至少4.x及之前）中，远程方法调用使用自定义序列化协议，该协议具有可以与请求一起发送的任意信息的附加映射。这是身份验证信息以及支持集群的其他内容。对于本地方法调用，我相信他们使用 ThreadLocals 之类的东西。

Answer 2

在 EJB 调用中会传播各种“上下文”信息，一旦您进入 EJB 层并开始执行 EJB-EJB 调用，事务就是一个例子。有些容器也允许您创建自己的此类上下文对象。

线程本地存储可以在进程内使用，但通常只是假设容器负责并且可以做正确的事情 - 实际技术是特定于实现的。

Answer 3

关于你的第一个问题——是的。
关于你的第二个问题——你熟悉 EJB3 拦截器吗？
容器使用 bean 的“拦截代码”创建代理对象，
此外，容器还可以跟踪方法和 bean 类上的其他注释，例如，检测 @PostConstruct 注释。
使用角色定义，它可以检查配置（旧版本的 jboss 中的 login-config.xml 或 JBoss AS 7 中的独立配置中的standalone.xml）并了解每个角色的定义是什么。
JAAS 按顺序使用为您提供身份验证和授权的抽象层。
JAAS 背后的概念之一是登录模块 - 它为您提供“特定于协议”的代码来处理实际的授权和身份验证。
例如，我以这种方式使用 Krb5LoginModule 来使用 kerberos。

Answer 4

正如您大部分猜测的那样，从 Web 层传播到 EJB 层的 Principal 是通过 web.xml 中的 login-config 配置的。

它的实现方式取决于实现。用户/组数据也依赖于实现，并且被配置为应用服务器的一部分。

然而，实现此目的的方法之一是通过 JASPIC 提供程序的实现，这是获取Principal的标准方法。与 WEB-INF/web.xml 提供的标准表单登录、基本身份验证或证书身份验证相比，使用此方法可以让您拥有不同的身份验证路径，但工作量要多一些。

JASPIC 身份验证路径允许更复杂的场景，例如基于标头的身份验证或双因素或 OpenID。用户数据库“通常”不需要与应用程序服务器中的数据库绑定。我说“通常”是因为 WebSphere Application Server 将身份验证与服务器上配置的用户联系起来。