论坛首页 Java企业应用论坛

源码提供 —— 使用Apache Commons HttpClient灵活实现JAAS签权

浏览 5412 次
锁定老帖子 主题:源码提供 —— 使用Apache Commons HttpClient灵活实现JAAS签权
精华帖 (1) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (0)
作者 正文
  • newman
  • 等级: 一星会员
  • 性别:
  • 文章: 40
  • 积分: 111
   发表时间:2007-02-28  
JavaEE提供了JAAS安全机制,在架构一个web系统时,可以根据这个标准来保护系统的安全。

先对JAAS标准作个简单介绍,JAAS为Java企业应用提供了安全规范和接口,规范主要由JavaEE服务器实现,接口则面向服务实现以及应用开发。一个安全的web系统,必须对其访问用户进行访问范围的控制,在JAAS中,这种控制体现在用户的角色上。举个例子,假设一个web系统(假设为http://www.asys.com)有两个受保护的url资源分别为Area-1(http://www.asys.com/areaone)和Area-2(http://www.asys.com/areatwo),系统中有两种角色Role1和Role2,根据约定,只有属于Role1的用户才能访问Area-1,另外只有拥有Role2角色的用户才能访问Area-2,如何实现呢?很简单,根据JAAS标准,可以通过在一个JavaEE服务器中进行相应的配置来实现声明式的JAAS安全。以tomcat5.0为例,首先,在conf/tomcat-users.xml这个文件,你可以定义用户信息和角色对应关系:
xml 代码
 
  1. xml version='1.0' encoding='utf-8'?>  
  2. <tomcat-users>  
  3.   <role rolename="Role1"/>  
  4.   <role rolename="Role2"/>  
  5.   <user username="user1" password="123" roles="Role1"/>  
  6.   <user username="user2" password="456" roles="Role2"/>  
  7. <!---->tomcat-users>  

以上设置相当于定义了安全机制依赖的用户角色元数据,那么接下来就是将角色与受保护的资源进行关联声明设置,这一步需要在你具体的web应用程序的部署文件web.xml(也可以是其他部署文件比如ejb描述文件)中进行:
xml 代码
 
  1. xml version="1.0" encoding="UTF-8"?>  
  2. <web-app version="2.4"   
  3.     xmlns="http://java.sun.com/xml/ns/j2ee"   
  4.     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"   
  5.     xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee   
  6.     http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">  
  7.       
  8.   <login-config>  
  9.     <auth-method>FORM<!---->auth-method>  
  10.     <form-login-config>  
  11.         <form-login-page>/login.jsp<!---->form-login-page>  
  12.         <form-error-page>/error.jsp<!---->form-error-page>  
  13.     <!---->form-login-config>  
  14.   <!---->login-config>  
  15.     
  16.   <security-constraint>  
  17.     <web-resource-collection>  
  18.         <web-resource-name>Area-1<!---->web-resource-name>  
  19.         <url-pattern>/areaone<!---->url-pattern>  
  20.     <!---->web-resource-collection>  
  21.     <auth-constraint>  
  22.         <role-name>Role1<!---->role-name>  
  23.     <!---->auth-constraint>  
  24.   <!---->security-constraint>  
  25.     
  26.   <security-constraint>  
  27.     <web-resource-collection>  
  28.         <web-resource-name>Area-2<!---->web-resource-name>  
  29.         <url-pattern>/areatwo<!---->url-pattern>  
  30.     <!---->web-resource-collection>  
  31.     <auth-constraint>  
  32.         <role-name>Role2<!---->role-name>  
  33.     <!---->auth-constraint>  
  34.   <!---->security-constraint>  
  35.   
  36.   <security-role>  
  37.     <role-name>Role1<!---->role-name>  
  38.   <!---->security-role>  
  39.   
  40.   <security-role>  
  41.     <role-name>Role2<!---->role-name>  
  42.   <!---->security-role>  
  43.   
  44. <!---->web-app>  

由于xml有很好的自我描述性,上面的信息意义比较明确,如果看过前面的假设案例,再具体琢磨一下应该明白,在这里就不过多解释。不过需要交待的是这个<login-config><login-config>标签,这个用途就是指定登陆签权的方式,根据JAAS标准,有BASIC/FORM/DIGEST等几种登陆方式,BASIC估计很多人在访问一些网站时碰到过,浏览器中打开一个登陆窗口,需要输入用户名密码才能访问某个资源,这种方式非常简单,是真正意义上的“声明式安全”,根本不需要编写任何代码,但是安全性和灵活性较差,这里姑且先不讨论BASIC和DIGEST模式,只讨论用得非常多的FORM模式,这种模式就是用html表单来提交用户名和密码,优点是灵活,比如你可以把登陆界面搞得更为花哨,但是有一点也比较讨厌的是,根据JAAS标准,这个登陆表单的提交Action必须是"action=/j_security_check",另外用户名密码参数名必须是j_username和j_password,为什么说它讨厌,就是你想搞得自我一些是没辙了,比如你要先通过自己的action,做一些业务逻辑或者往数据库写些什么,对不起没门,你只能提交到/j_security_check这个 url,而且,服务器验证通过后,它会自动转向你想访问的受保护资源,当然你可以通过filter来实现后置的登陆处理,但是这种方式也有问题,比如,你想加个验证码机制,用户除了输入用户名密码外,还要输对验证码才能登陆,那就无法用后置处理加以实现了。到这里你可能会咒骂,“这个JAAS是什么个标准?!居然如此不灵活!“,解决这个问题可以通过服务器端的response.sendRedirect来实现自定义登陆操作验证再执行 j_security_check,但这有个毛病是用户名密码再来回一次浏览器和服务器,安全性和效率都不好,在本文中,老黄博客用一种不同的方式,就是在服务器端通过httpclient代替用户端的浏览器来执行j_security_check操作,这样就解决了这个矛盾,你想前置或者后置进行 j_security_check检查都可以,并且完全提供开源源代码,:)

具体思路是这样的,在服务器端获取到用户名、密码、sessionid、并生成j_security_check的完整url路径,调用 JSecurityCheckHelper这个对象的doCheck方法就可以完成签权,同时JSecurityCheckHelper还支持SSL和服务代理(这可是花了老黄近一个月的心血啊)。JSecurityCheckHelper的代码骨架如下:

java 代码
  1. package laohuang.helper.jaas;  
  2.   
  3. /** 
  4.  * <code>JSecurityCheckHelper</code>利用HttpClient实现JAAS签权。 
  5.  *  
  6.  * @author newman.huang 
  7.  * @version 1.0 2007/2/26 
  8.  */  
  9. public class JSecurityCheckHelper {  
  10.       
  11.     private HttpClient httpClient;  
  12.       
  13.     static{  
  14.         loadProxyConfig();  
  15.         registerHttps();  
  16.     }  
  17.           
  18.     //加载代理属性  
  19.     private static void loadProxyConfig(){  
  20.         ...  
  21.     }  
  22.       
  23.     //注册https协议以支持HttpClient通过SSL通讯  
  24.     @SuppressWarnings("deprecation")  
  25.     private static void registerHttps(){  
  26.         ...  
  27.     }  
  28.       
  29.     /** 
  30.      * 构建。 
  31.      * 
  32.      */  
  33.     public JSecurityCheckHelper(){  
  34.         ...  
  35.     }  
  36.       
  37.     /** 
  38.      * 执行j_security_check。 
  39.      */  
  40.     public String doCheck(String userName, String password,  
  41.         String jSessionId, String jSecCheckFullURL) throws SecurityCheckException {  
  42.           
  43.         ...  
  44.     }  
  45.       
  46.     //设置代理以通过代理执行j_security_check校验  
  47.     private void setProxy(){  
  48.         ...  
  49.     }  
  50.       
  51.     //生成HttpClient Cookie  
  52.     private Cookie genRequestCookie(String jSessionId,String fullURL){  
  53.         ...  
  54.     }  
  55.       
  56.     //通过url获取cookie的域名  
  57.     private static String parseCookieDomainName(String url){  
  58.         ...  
  59.     }  
  60.       
  61.     //辅助方法,执行一个get请求,仅供测试使用  
  62.     private void doGetRequest(String url){  
  63.         ...  
  64.     }  
  65.       
  66.     //辅助方法,获取当前JSESSIONID,仅供测试使用  
  67.     private String getJSessionId(){  
  68.         ...  
  69.     }  
  70.       
  71.     ...  
  72. }  

本实现可以解决j_security_check Form验证的不灵活弊端,也可以将代码集成到有需要的客户端测试当中,另外,可以充当学习HttpClient的范例代码。正如硬币都有正反两面,这个解决方案没有遵循server/Client分离的实现原则,如果放置在服务器端,在不同的应用环境下,需要处理的细节过多,比如需要关注传输协议细节(SSL),是否使用代理等等,尽管如此,</login-config></login-config>JSecurityCheckHelper还是都为你提供了这些实现。
<login-config><login-config>
</login-config></login-config>
返回顶楼
         
论坛首页 Java企业应用版

跳转论坛:
Global site tag (gtag.js) - Google Analytics