此篇詳細討論在 http://www.javaworld.com.tw/jute/post/view?bid=5&id=63394&tpg=1&ppg=1&sty=1&age=1#63394
smallufo 對於我在 javatwo 演講的 j2ee security 很不滿意
因為我只有簡略地帶過 JAAS.
所以提出了相關的問題與討論在 JavaWorld @ Taiwan 之中
很高興和他討論, 讓我對於整個架構清晰而明朗
我們現在拿 jakarta-tomcat 來看
他的 JAASRealm 很簡陋, 基本上連 JAAS 堆疊式也沒有處理
就是一次只能設定一個 LoginModule,
不能根據設定相關的 Required, Requisite, Sufficient, Optional 等等處理相關的 Callback 機制
不過在 BEA Weblogic 之中, 就可以設定相關的 Authenticator ( 認證模組, 類似於 LoginModule)
所以, 如果要學習使用 JAAS in J2EE, 我認為不要使用 jakarta tomcat , 太陽春了.
好 ~ 首先 smallufo 所提出的 HttpServletRequets 為何沒有 getUserSubject().
我也很納悶, Subject 是 Principal 的集合, 我認為這是應該要有的,
不知道 Servlet Specification 目前有沒有相關的計劃
不過在 http://www.mail-archive.com/tomcat-dev@jakarta.apache.org/msg10133.html
Tagish ( 提供免費的 JAAS LoginModule opensource http://free.tagish.net/jaas/ ) 的 Andy Armstrong 提到
如果沒有提供 Subject request.getUserSubject() 一切的 JAAS in J2EE 都沒什麼太大意義.
不過, 在 tomcat JAASRealm 之中, http://jakarta.apache.org/tomcat/tomcat-5.0-doc/realm-howto.html#JAASRealm
設定 user/role 對應到的 Principal, 是 UserPrincipal / RolePrincipal.
就單純的 RolePrincipal 透過 isUserInRole() 來認證
也許有人就開始納悶了, 我登入通常只存在一個 Principal, 幹麻要有好幾個 Principal ( Subject )
其實, 主要是因為 Portal 可能整合許多 portlets, 每個 portlet 有獨自的 Principal 去處理相關的 Role-based Access Control.
所以我們會希望有 request.getUserSubject().getPrincipals() 各自判斷要採用哪一個 Principal.
我簡單舉一個例子, 當我登入 一家金控公司,
我會希望有 銀行帳號 ( BankPrincipal ), 投信帳號 ( InvestPrincipal ), 證券帳號 (BrokerPrincipal ) 等等.
當使用到銀行轉帳到證券帳號的時候, 我操作 Bank System, 與 Broker System 都可以在同一個 Subject 之下完成
目前來看, 我認定的解決方式, authentication 透過 Realm 呼叫 LoginModule 取得唯一的 Principal ( 可能有 UserPrincipal 與 RolePrincipal ),
authorization 是執行 isUserInRole 的同時, Container 會自己判斷 該使用者 是否具有該 角色 可以執行,
內部的運作應該就是去檢查 role-principal 送到 auth 機制去驗證 action ( url-pattern )與 role 的關係.
未來 Servlet 如果有 getUserSubject(), 我想才能真正使用 Java Authentication 與 Authorization . ~
