|
2007-09-11
JAAS http://bluepopopo./blog/122993关键字: jboss jaas项目中用到了JAAS,以前没有接触过,google了半天资料。赶快纪录下来:
1.JAAS全称为Java authentication and authorization service,用于设计可拔插的安全机制。一般项目中用在web端或ejb访问控制。 2.直接以例子进行(基于JBoss4.0.0): 2.1 首先确定需要以何种方式进行验证,文件/数据库/LDAP。目前的项目是用数据库方式。 2.2 在JBoss中以文件方式验证,可以参考jmx-console.war的配置:将jboss-web.xml中的注释去掉,然后再把web.xml中的那一段注释拿掉。确认classes目录下的jmx-console-users.properties和jmx-console-roles.properties存在。 2.3重起jboss,http://localhost:8080 点击jmx-console链接,则需要安全验证。 3.在web应用中使用基于database方式的JAAS: 3.1 创建role table: CREATE TABLE Principals (PrincipalID VARCHAR (64) PRIMARY KEY,Password VARCHAR (64)); INSERT INTO Principals VALUES ('admin', '123'); INSERT INTO Principals VALUES ('guest', '456') ; CREATE TABLE Roles (PrincipalID VARCHAR (64), Role VARCHAR (64), RoleGroup VARCHAR (64)); INSERT INTO Roles VALUES ('admin', 'admin', 'Roles'); INSERT INTO Roles VALUES ('guest', 'guest', 'CallerPrincipal'); 3.2 创建一个datasource文件。可以从<%jboss_home%>/server/docs/examples/jca 目录下拷贝一个至deploy目录。Ds文件的内容作相应修改。 3.3 修改<%jboss_home%>/server/你的服务/conf/login-config.xml,添加: <application-policy name="MyEJB"> <authentication> <login-module code="org.jboss.security.auth.spi.DatabaseServerLoginModule" flag="required"> <module-option name = "dsJndiName">java:/MSSQLDS</module-option> <module-option name = "principalsQuery">SELECT Password FROM Principals WHERE PrincipalID=?</module-option> <module-option name = "rolesQuery">SELECT Role,RoleGroup FROM Roles WHERE PrincipalID=?</module-option> </login-module> </authentication> </application-policy> 3.4 仿照jmx-console的配置,将jboss-web.xml,和 web.xml中注释掉的security内容拷贝过来。其中为:java:/jaas/ MyEJB 与 login-config.xml的设置对应,为super与数据库对应。 3.5 重起jboss.访问web应用. 4.在EJB中使用 4.1 需要在ejb-jar.xml,jboss.xml中添加属性。 ejb-jar.xml: <ejb-jar> <enterprise-beans> <session> <ejb-name>BookService</ejb-name> <home>com.shawn.BookRemoteHome</home> <remote>com.shawn.BookRemoteObject</remote> <ejb-class>com.shawn.BookServiceBean</ejb-class> <session-type>Stateless</session-type> <transaction-type>Container</transaction-type> <security-role-ref> <role-name>super</role-name> <role-link>super</role-link> </security-role-ref> </session> </enterprise-beans> <assembly-descriptor> <security-role> <description>Administrator</description> <role-name>super</role-name> </security-role> <method-permission> <description>addbook</description> <role-name>super</role-name> <method> <ejb-name>BookService</ejb-name> <method-name>*</method-name> </method> </method-permission> </assembly-descriptor> </ejb-jar> 相应的jboss.xml: <jboss> <security-domain>java:/jaas/MyEJB</security-domain> <enterprise-beans> <session> <ejb-name>BookService</ejb-name> <jndi-name>BookService</jndi-name> </session> </enterprise-beans> <assembly-descriptor> <security-role> <role-name>super</role-name> <principal-name>super</principal-name> </security-role> </assembly-descriptor> </jboss> 4.2 写一个servlet(LoginServlet)访问该ejb. Properties pro = System.getProperties(); pro.setProperty(Context.INITIAL_CONTEXT_FACTORY, "org.jnp.interfaces.NamingContextFactory"); pro.setProperty(Context.PROVIDER_URL, "jnp://localhost:1099"); Context con = new InitialContext(pro); Object obj = con.lookup("BookService"); BookRemoteHome home = (BookRemoteHome)PortableRemoteObject.narrow(obj, BookRemoteHome.class); BookRemoteObject bookService= home.create(); System.out.println("Create home successfully!"); . . .只贴点关键代码 4.3 部署ejb和web应用,启动JBoss,访问web时需要jaas登陆,访问LoginServlet时调用ejb则会使用ejb的jaas的检验。 5.当然jaas允许编写自定义的login module,总的说来就是: 实现LoginModule接口,实现其中的initilize(),login() . . . 方法; 实现 CallbackHandler接口,实现其中的handle()方法; 实现Principal接口。 6.仍然有疑问,留待以后考虑: 6.1客户端直接访问,譬如eclipse访问该EJB总是会报principal不匹配(No matching username found in Principals),只有在web登陆后才可以正常访问需要授权的EJB。客户端不能利用 pro.setProperty(Context.SECURITY_PRINCIPAL, "xxx”) pro.setProperty(Context.SECURITY_CREDENTIALS, "xxx”) 的方式访问? 6.2 JBoss4.0.0设置ejb的jaas时,总会是报有princpal不存在的异常,换成4.0.5GA就可以,奇怪哉? 至此完了,比较粗略,第一次纪录自己的体会不容易啊。 |
|
|
来自: whiskey1122 > 《JAAS》
