| Blog信息 |
|
blog名称:
日志总数:1304
评论数量:2242
留言数量:5
访问次数:7585358
建立时间:2006年5月29日 |
| |
|
 [J2SE]JAAS:授权篇
软件技术
lhwork 发表于 2006/8/18 16:54:18 |
| JAAS:授权篇Authorization classes:
Policy
AuthPermission
PrivateCredentialPermission
The static method doAs() in Subject achieves the effect of having an action run as the subject. Based on whether this action is authorized, the action completes |
|
|
[J2SE]JAAS:认证篇[续2]
软件技术
lhwork 发表于 2006/8/18 16:53:37 |
JAAS:认证篇[续2] 有论者认为Tomcat Realm机制太理想化,目前When developing your LoginModule, note that JAASRealm's built-in CallbackHandler +only recognizes the NameCallback and PasswordCallback at present.
其实他也不支持自定义
| 阅读全文(3589) | 回复(0) | 编辑 | 精华 | 删除 |
| | |
|
[J2SE]JAAS:认证篇[续]
软件技术
lhwork 发表于 2006/8/18 16:51:52 |
JAAS:认证篇[续]步骤二:
实现Principal.Principal干什么,我觉得就是和Subject关联的属性数据,如果你把User当作subject,Principal可以存放帐号,密码以及其他的Email等.
必须实现该方法.
public String getName() {
return this.name;
}
我这里简单写了一个Principal.
package cn.com.tiansky.auth.Principal;
import java.io.Serializable;
import java.security.Principal; |
|
|
[J2SE]JAAS:认证篇
软件技术
lhwork 发表于 2006/8/18 16:51:23 |
| JAAS:认证篇基础:
JAAS是JAVA安全中的重要部分.
一般谈到的Java安全包会涉及到JAAS,JCE,JSSE等.
Java Authentication and Authorization Service (JAAS): A framework for user-based authentication
Java Cryptography Extension (JCE): A framework for using |
|
|
[J2SE]关于JAAS的应用
软件技术
lhwork 发表于 2006/8/17 22:10:33 |
| JavaTM Authentication and Authorization Service (JAAS)在JavaTM 2 SDK Standard Edition (J2SDK)1.3版本中是一个可选的包,而现在JAAS已经整合到J2SDK1.4中.
有两种情况使用JAAS:
1.用来鉴定用户,能够可靠并安全的确定谁在执行java代码,而不管执行的是一个应用程序或小程序或bean或java servlet;
2.授权用户并保证用户能有通路控制执行许可. | |
|
|
[J2SE]Extending JAAS
软件技术
lhwork 发表于 2006/8/17 22:09:55 |
Guosheng Huang, PhD, is a seniorsoftware developer withWysdom Inc. He
has over 15years of experience in software engineering and technical
architecture. gorsenhuang@yahoo.com
翻译:绿野风烟 2003/10
用户认证和访问控制是大多数java应用的重要安全尺度,特别是J2EE应用。Java认证和权限服务(即JAAS),J2SE1.4和1.5的核心
API,描绘表达了新的安全标准。其提供了一个可插拔的(pluggable)和富有弹性的(flexible)框架(framework)允许开发者混
合不同的安全机制和丰富的已经存在各种安全方面的资源。
伴随着即将来临的J2SE1.5版本的发布,它包含了许多诸如加密技术、XML安
全性、公钥机制(PKI)、Kerb |
|
|
[J2SE]安全:JAAS LoginModule
软件技术
lhwork 发表于 2006/8/17 22:06:52 |
原文:http://www.hibernate.org/139.html
译者:jredfox
Java认证和授权API(JAAS)为应用程序处理用户的认证和授权问题提供了标准方式。很多人在Unix/Linux系统中比较JAAS和PAM模块。
本文不对JAAS进行详细的讨论,但给大家简单的介绍一下。在JAAS架构中,当用户登录系统时,系统给用户一个Subject,Subject中包含有
一个或多个Principal。每个Principal给用户提供身份验证,例如用户ID,也可以验证组和角色。Subject也包含公有的和私有的许可
证(credential),例如X.509证书、私钥等。JAAS通过公开的Permission进行授权,Permission是在外部Policy
文件里进行维护的。本文也不讨论授权。就像下面所讨论的,实际的登录过程是由LoginModule来处理的。如果你想了解更多的信息,这里有相关
JAAS的详细介绍:http://www.javaworld |
|
|
[J2SE][转]在Web application中集成JAAS
软件技术
lhwork 发表于 2006/8/17 22:05:07 |
Author charles @ chinaxp.org
以XForum来说明如何使用JAAS做用户验证
JAAS的简单流程:
初始化一个generic的LoginContext
Call LoginContext.login()验证用户
如果成功,获得一个经过代表当前用户的Subject object,Subject中含有用户数据
不成功得到一个LoginException
开发过程:
1.建立一个Implements java.secuirty.principal的User object,因为在Subject中的数据必须是
Pricipal,所以我们建议个User principal,这个principal中目前只保存用户名信息
2.建立一个客户化的LoginModule,这个Class 需要Implement javax.security.auth.spi.LoginModule;
由于XForum使用Mysql数据库作为用户数据的数据源 |
|
|