关于Jaas的探讨
這兩天根據需要,從Oracle 上閱讀了整篇關于Jaas技術的詳情,這里對Jaas進行了整理。
Jaas主要負責的是 Authentication 和 Authorization。主要分為三個部分:
Common公共部分,Authentication 部分以及 Authorization 部分。
Common公共部分主要是Subject,Principal,Credential。
Subject :
在授權之前,需要對請求的來源加以認證,Jaas定義了Subject表示請求的來源。一旦Subject認證成功,將會在Subject中增加相關的身份信息或者是Principal。一個Subject會有多個Principal,例如一個人可以有名字的Principal,或者身份的Principal。Subject也有與自己相關的安全屬性稱之為Credential。加密的私鑰被存儲在私有證書集合中,而公鑰證書存儲在公鑰證書集合中,訪問和修改不同證書的集合需要不同的權限。
Principal :
如上所說,當一個Subject認證成功,Principal將會關聯到這個Subject。Principal表示Subject的身份表示,必須要實現 java.security.Principal 和 java.io.Serializable 接口。Subject section 描述了更新Principal關聯到subject的方法。
Credential :
并不是主要的Jaas代碼,任何類可以表示為Credential,并需要實現Credential的兩個接口Refreshable和Destroyable。
Authentication 部分:
驗證一個Subject需要如下的步驟:
1.應用程序初始化一個LoginContext實例。
2.LoginContext查閱Configuration以加載為該應用配置的所有LoginModule。
3.應用程序調用LoginContext的login方法。
4.login方法調用所有加載的LoginModule方法,每個LoginModule嘗試驗證Subject。成功后LoginModule會把Principal和Credential與被驗證的Subject關聯到一起。
5.LoginContext將認證的狀態返回給應用程序。
6.如果認證成功,應用程序將從LoginContext中檢索出Subject。
LoginModule :
LoginModule接口為開發人員提供了實現不同種類身份驗證技術的能力,這些技術可以在應用程序中插入。
CallbackHandler :
Callback :
Authorization部分:
授予訪問控制權限不僅基于哪些代碼正在運行,還取決于誰在它下面運行,以下是必須的:
用戶必須經過身份驗證,如LoginContext部分所述。
如Subject部分所述,身份驗證結果的Subject必須與訪問控制上下文相關聯。
必須在安全策略中配置基于委托人的條目。
以下根據說明文檔創建了一個Jaas的示例程序,程序目錄如下:
總結
- 上一篇: 华为杯2020-2021年数学建模大赛题
- 下一篇: 机器学习——常用核函数