JAAS: Java验证与授权服务(Java Authencation and Authorization Service).
JAAS 体系结构包括以下package:
javax.security.auth
javax.security.auth.callback
javax.security.suth.login
javax.security.spi
JAAS主要的类和接口:
1) Subject
2) LoginContext
3) LoginModule
4) Configuration
5) CallbackHandler
6) Callback
7) Policy
8) AuthPermission
9) PrivateCredentialsPerssion
JAAS主题 Subject
主题抽象使主题可以向系统验证和授权主题对资源的访问。
javax.security.auth.Subject类是个Serializable和final类,用于包装要利用系统的一些安全要害方面的实体。
它有两个构造器
Subject()
Create an instance of a Subject with an empty Set of Principals and empty Sets of public and private credentials.
Subject(boolean readOnly, Set principals, Set pubCredentials, Set privCredentials)
Create an instance of a Subject with the specified Sets of Principals and credentials.
Subject对象还可以和定义验证主体身份的信息的证书相关联。
Subject类还定义一个getSubject()方法,两个doAs()方法和两个doASPrivileged()方法。
还有以下方法:
subject.getPrincipals() 返回一组 Principal 对象。因为结果是 Set,所以适用操作 remove()、add() 和 contains()。
subject.getPublicCredentials()返回一组与 Subject 相关的公用可访问凭证。
subject.getPrivateCredentials() 返回一组与 Subject 相关的专用可访问凭证。
专门主题证书
和Subject相关的证书对象可以使用两个接口:
javax.security.auth.Refreshable 与
javax.security.auth.Destoryable
怎么用JAAS验证??
使用可插入验证模块(PAM, Pluggable Authentication Module)框架采用的模式,将应用程序与基础验证技术分开。
登录配置
JAAS 使用 login.config 文件来指定每个登录模块的认证项。login.config 文件是在 Java 执行命令行上用特性 -Djava.security.auth.login.config==login.config 指定的。
例子:
JAASExample {
AlwaysLoginModule optional;
PassWordLoginModule optional;
};
ogin.config 文件包含 LoginContext 构造器中引用的文本字符串和登录过程列表。几个参数用于指定一个给定的登录过程的成功或失败对总体认证过程的影响。有如下参数:
required 表示登录模块必须成功。即使它不成功,还将调用其它登录模块。
optional 表示登录模块可以失败,但假如另一个登录模块成功,总体登录仍可以成功。假如所有登录模块都是可选的,那么要使整个认证成功至少必须有一个模块是成功的。
requisite表示登录模块必须成功,而且假如它失败,将不调用其它登录模块。
sufficient 表示假如登录模块成功,则总体登录将成功,同时假设没有其它必需或必不可少的登录模块失败。
登录模块初始化
下面是LoginContext
public final class LoginContext {
public LoginContext(String name) {}
public void login(){}
public void logout(){}
public Subject getSubject(){}
}
下面是LoginModule
public interface LoginMoudule(){
boolean login(){};
boolean commit();
boolean abort();
boolean logout();
}