Java Authentication Authorization Service（JAAS，Java驗(yàn)證和授權(quán)API）提供了靈活和可伸縮的機(jī)制來保證客戶端或服務(wù)器端的Java程序。Java早期的安全框架強(qiáng)調(diào)的是通過驗(yàn)證代碼的來源和作者，保護(hù)用戶避免受到下載下來的代碼的攻擊。JAAS強(qiáng)調(diào)的是通過驗(yàn)證誰在運(yùn)行代碼以及他／她的權(quán)限來保護(hù)系統(tǒng)面受用戶的攻擊。它讓你能夠?qū)⒁恍?biāo)準(zhǔn)的安全機(jī)制，例如Solaris NIS（網(wǎng)絡(luò)信息服務(wù)）、Windows NT、LDAP（輕量目錄存取協(xié)議），Kerberos等通過一種通用的，可配置的方式集成到系統(tǒng)中。

JAAS簡(jiǎn)介

　　Java安全框架最初集中在保護(hù)用戶運(yùn)行潛在的不可信任代碼，是基于代碼的來源（URL）和誰創(chuàng)建的代碼（certificate）來給移動(dòng)代碼進(jìn)行授權(quán)。Java 2 SDK 1.3引入了JAAS（ Java Authentication and Authorization Service）,增加了基于用戶的訪問控制能力，即根據(jù)誰在運(yùn)行代碼來進(jìn)行授權(quán)。JAAS已經(jīng)整合進(jìn)了Java 2 SDK 1.4，作為標(biāo)準(zhǔn)的用戶認(rèn)證與授權(quán)模型。

JAAS用戶認(rèn)證框架

　　JAAS認(rèn)證被實(shí)現(xiàn)為可插入的方式，允許應(yīng)用程序同底層的具體認(rèn)證技術(shù)保持獨(dú)立，新增或者更新認(rèn)證方法并不需要更改應(yīng)用程序本身。應(yīng)用程序通過實(shí)例化LoginContext對(duì)象開始認(rèn)證過程，引用配置文件中的具體認(rèn)證方法，即LoginModule對(duì)象，來執(zhí)行認(rèn)證。

JAAS：可插入式認(rèn)證

　　一旦執(zhí)行代碼的用戶通過了認(rèn)證，JAAS授權(quán)組件將和核心Java訪問控制模型一起工作，來保護(hù)對(duì)敏感資源的訪問。從J2SDK 1.4開始，訪問控制不僅基于代碼的來源和簽名者（CodeSource），而且還要檢查誰在運(yùn)行代碼。執(zhí)行代碼的用戶被表現(xiàn)為Subject對(duì)象，如果LoginModule認(rèn)證成功，Subject對(duì)象被更新為相應(yīng)的Principals和credentials。25.1.1. 一個(gè)簡(jiǎn)單的例子 　　本節(jié)通過一個(gè)簡(jiǎn)單的例子介紹JAAS開發(fā)的基本步驟。本節(jié)中的范例位于Apusic應(yīng)用服務(wù)器安裝目錄中的docs/samples/jaas/simple目錄。有關(guān)范例的內(nèi)容、編譯、部署與運(yùn)行，可參考docs/samples/jaas/simple目錄下的readme.txt文件。 　　范例程序的代碼分為兩部分，一部分為主程序，執(zhí)行用戶認(rèn)證過程，源程序如下： 　　package samples; 　　import javax.security.auth.Subject; 　　import javax.security.auth.login.LoginContext; 　　import javax.security.auth.login.LoginException; 　　import com.sun.security.auth.callback.TextCallbackHandler; 　　public class CountFiles { 　　static LoginContext lc = null; 　　public static void main(String[] args) { 　　//使用配置文件中名字為“CountFiles”的條目 　　try { 　　lc = new LoginContext("CountFiles", 　　new TextCallbackHandler()); 　　} catch (LoginException le) { 　　le.printStackTrace(); 　　System.exit(-1); 　　} 　　try { 　　lc.login(); 　　//如果沒有異常拋出，則表示認(rèn)證成功 　　} catch (Exception e) { 　　System.out.println("Login failed: " + e); 　　System.exit(-1); 　　} 　　//以認(rèn)證用戶的身份執(zhí)行代碼 　　Object o = Subject.doAs(lc.getSubject(), new CountFilesAction()); 　　System.out.println("User " + lc.getSubject( ) + " found " + o + " files."); 　　System.exit(0); 　　} 　　} 　　可以看出，主程序包含了三個(gè)重要的步驟：首先構(gòu)造一個(gè)LoginContext對(duì)象，然后使用這個(gè)對(duì)象進(jìn)行登錄，最后，把用戶作為doAs方法一個(gè)參數(shù)。 　　另一部分表示用戶想要執(zhí)行的具體操作，源程序如下： 　　package samples; 　　import java.io.File; 　　import java.security.PrivilegedAction; 　　class CountFilesAction implements PrivilegedAction { 　　public Object run() { 　　File f = new File("."); 　　File[] files = f.listFiles(); 　　return new Integer(files.length); 　　} 　　}

25.1.2. JAAS核心類和接口

　　JAAS相關(guān)的核心類和接口分為三類，公共、認(rèn)證和授權(quán)。 　　公共類：Subject,，Principal，Credential 　　認(rèn)證類和接口：LoginContext，LoginModule，CallbackHandler，Callback 　　授權(quán)類 ：Policy，AuthPermission，PrivateCredentialPermission 　　詳細(xì)的描述請(qǐng)參考《JAAS Reference Guide》。 　　25.1.3. 配置LoginModules 　　JAAS認(rèn)證被實(shí)現(xiàn)為一種可插入的方式，系統(tǒng)管理員可以通過配置文件為每一個(gè)應(yīng)用程序配置LoginModuls來決定應(yīng)用程序使用的認(rèn)證技術(shù)。配置信息可以保存在文件或數(shù)據(jù)庫中，通過javax.security.auth.login.Configuration對(duì)象進(jìn)行讀取。javax.security.auth.login.Configuration為抽象類，JDK提供了可實(shí)例化的子類com.sun.security.auth.login.ConfigFile，從文件中讀取配置信息。配置文件中包含一個(gè)或多個(gè)條目，每一個(gè)條目指明了特定應(yīng)用程序使用的認(rèn)證方法。條目的結(jié)構(gòu)如下： 　　<name used by application to refer to this entry> { 　　<LoginModule> <flag> <LoginModule options>; 　　<optional additional LoginModules, flags and options>; 　　}; 　　可以看出，每一個(gè)條目由名字和一個(gè)或多個(gè)LoginModule組成。范例程序使用的配置文件login.conf內(nèi)容如下： 　　CountFiles { 　　com.apusic.security.auth.login.ClientPasswordLoginModule required; 　　}; 　　詳細(xì)的描述信息可以參考Configuration。

25.1.4. 編寫Policy文件

　　JAAS授權(quán)擴(kuò)展了現(xiàn)有的Java安全體系結(jié)構(gòu)，在給代碼授權(quán)時(shí)可以包括一個(gè)多個(gè)Principal域，指出Principal代表的用戶執(zhí)行特定的代碼時(shí)，具有分配的權(quán)限。因此，授權(quán)聲明的基本形式為： 　　grant <signer(s) field>, <codeBase URL> 　　<Principal field(s)> { 　　permission perm_class_name "target_name", "action"; 　　.... 　　permission perm_class_name "target_name", "action"; 　　}; 　　缺省的策略文件實(shí)現(xiàn)和策略文件語法請(qǐng)參考《Default Policy Implementation and Policy File Syntax》。范例程序使用的策略文件policy.jaas內(nèi)容如下： 　　grant codeBase "file:./build" { 　　permission java.security.AllPermission; 　　}; 　　grant codeBase "file:/${apusic.home}/lib/apusic.jar" { 　　permission java.security.AllPermission; 　　}; 　　grant codeBase "file:./build/actions" Principal com.apusic.security.PrincipalImpl "admin" { 　　permission java.io.FilePermission "<<ALL FILES>>", "read"; 　　}; 　　可以看出，給主程序和apusic.jar授予了所有權(quán)限；當(dāng)執(zhí)行具體操作的用戶為“admin”時(shí)，授予了讀取所有文件的權(quán)限。

25.1.5. 運(yùn)行范例程序

　　范例程序提供了ant的build.xml腳本，請(qǐng)用戶自己下載并安裝ant。運(yùn)行范例程序的步驟為： 　　首先啟動(dòng)Apusic應(yīng)用服務(wù)器， 范例程序?qū)⒌卿浄?wù)器。 　　編譯、運(yùn)行程序。在simple目錄下執(zhí)行ant命令，會(huì)編譯源程序CountFiles.java到build目錄下，編譯源程序CountFilesAction.java到build/actions目錄下。然后會(huì)自動(dòng)運(yùn)行程序，相當(dāng)于在命令行敲入下面的java命令： 　　java -classpath %APUSIC_HOME%/lib/apusic.jar;./build;./build/actions 　　-Djava.security.manager 　　-Djava.security.policy==policy.jaas 　　-Djava.security.auth.login.config==login.conf 　　-Dapusic.home=%APUSIC_HOME% samples.CountFiles 　　根據(jù)提示輸入服務(wù)器，用戶名和口令。 如果用“admin”登錄，程序?qū)⒄＿\(yùn)行結(jié)束，若使用其他用戶名登錄，將拋出訪問控制異常。

總結(jié)

以上是生活随笔為你收集整理的JAAS 简介的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。