`

JAAS概述以及Jboss安全性配置

阅读更多
   关于JAAS概念性的东西我就不自己写了,主要内容大部分来自Sun的官方资料《java_security2》。关于Jboss的安全性配置的基本内容也来自Jboss的资料,所以这部分的资料完全都是转贴,请不要见怪,因为在介绍更高级的应用之前必须先介绍这方面的内容。

Java 鉴别与授权服务(JAAS)
JAAS(Java Authentication and Authorization Service)可以在Java 平台上提供用户身份鉴别。在Java 平台上,其功能是独一无二的。
Java 安全设计的所有核心功能都是为了保护终端用户不受程序开发者的影响,由于终端用户为了使用开发者提供的程序,不得不满足其对本地资源的存取要求,这就要求必须保证用户不受到程序的影响。另一方面,JAAS 允许开发者根据用户提供的鉴别信任状(credential)准许(或拒绝)用户对程序的访问。
JAAS 可由 http://java.sun.com/products/jaas/ 下载。它包括两部分: 一部分是Java类库,其中定义了服务接口(JAAS 固有的),另一部分为平台专用的模块,其作用是实现授权(JAAS 模块)。此外还可以获得模块样例,从而在JNDI 目录服务、Windows NT 登录服务和Solaris 登录服务基础上实现鉴别。
JAAS 本身包括文档和一个lib 目录,其中只有一个jar 文件(jaas.jar)。可以将此jar 文件安装到$JREHOME/lib/ext 中,用户也可以将它放在类路径指定的目录下。JAAS模块的lib 目录中包括另一个jar 文件(jaasmod.jar),对其处理方法与jaas.jar类似。


Jboss安全性配置
J2EE定义了应用中指定安全性约束的机制,但并没有给出具体服务器是如何实现和配置认证和访问控制机制(译者注:授权)的。JBoss使用了JAAS以提供集成不同认证技术的可插入方式,供应用的认证和授权使用。同时,JBoss还提供了一套标准模块,即基于文件、数据库、LDAP的安全性机制。其中,基于文件的方式最为简单。用户可以使用现有的认证模块,或者可以开发更适合自身需求的认证模块。
Jboss安全性域信息存储在login-config.xml文件中,其包含了许多安全性域定义。各个安全性域指定了许多JAAS3登陆模块,供安全性域认证使用。当用户需要在应用中使用安全性时,需要在JBoss特定部署描述符jboss.xml或jboss-web.xml中指定待使用的安全性域名。本节将快速地带领用户分析如何保护随JBoss发布的JMX控制台和Web控制台应用。
通过JMX控制台基本上能够控制JBoss服务器的各个方面,因此保护该控制台很重要,至少需要通过密码来保护它。否则,任何远程用户将能够完全控制用户的JBoss服务器。为实现此目的,本文将安全性域添加给JMX控制台应用。通过server/default/deploy/jmx-console.war/WEB-INF/目录能够找到待修改的JMX控制台文件,即jboss-web.xml。将jboss-web.xml中security-domain的注释去掉,具体如下。
<jboss-web>
<security-domain>java:/jaas/jmx-console</security-domain>
</jboss-web>
这将设置Web应用待使用的安全性域,但还未确定Web应用应该使用的安全性策略。待保护的URL是什么,相应的访问角色又是哪些?为配置这些内容,用户需要在同一目录中找到web.xml文件,然后将security-constraint的注释去掉。其中,该安全性约束要求登陆用户必须具有JBossAdmin角色。
<!--
A security constraint that restricts access to the HTML JMX console
to users with the role JBossAdmin. Edit the roles to what you want and
uncomment the WEB-INF/jboss-web.xml/security-domain element to enable
secured access to the HTML JMX console.
-->
<security-constraint>
<web-resource-collection>
<web-resource-name>HtmlAdaptor</web-resource-name>
<description>
An example security config that only allows users with the
role JBossAdmin to access the HTML JMX console web application
</description>
<url-pattern>/*</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>JBossAdmin</role-name>
</auth-constraint>
</security-constraint>
太好了,但是用户名和密码来自哪里呢?不错,它们来自jmx-console安全性域。通过conf/login-config.xml文件能够看到。
<application-policy name="jmx-console">
<authentication>
<login-module code="org.jboss.security.auth.spi.UsersRolesLoginModule"
flag="required">
<module-option name="usersProperties">
jmx-console-users.properties
</module-option>
<module-option name="rolesProperties">
jmx-console-roles.properties
</module-option>
</login-module>
</authentication>
</application-policy>
上述配置使用了基于简单文件的安全性策略。其中,登陆JMX控制台应用的用户名和密码存储在jmx-console-users.properties中,并且以“username=password”形式给出。为了将用户添加到JBossAdmin角色中,需要将“username=rolename”形式给出的用户和角色映射关系给出在jmx-console-roles.properties文件中。现存的文件创建了admin用户,其密码为admin。用户可能删除该用户,或者更改其密码,使得JMX控制台应用更安全。
当更新了web.xml时,JBoss会重新部署JMX控制台应用。用户可以通过服务器控制台检查JBoss保存了对web.xml所作的修改。如果用户正确地配置了上述各个任务,并且重新部署了JMX控制台应用,则下次访问它时,JBoss会要求用户提供用户名和密码。
JMX控制台应用不是JBoss唯一提供的、基于Web的管理界面。JBoss还提供了另一管理应用,即Web控制台(参考附录A)。尽管Web控制台是基于Java Applet形式给出的,但是对应的Web应用还是可以类似于JMX控制台的方式来保护它。其中,Web控制台应用位于default/deploy/management/web-console.war。注意,这同JMX控制器应用有所区别,因为JMX控制器应用是以目录形式展开的。因此,编辑web-console.war WAR存档更费力些。

配置Jboss安全性域
通常,用于Web和EJB层的、标准的J2EE安全性声明需要借助于web.xml和ejb-jar.xml部署描述符指定。然而,为配置使用JBoss安全性,开发者还需要提供JBoss专有的部署描述符。
通过JBoss具体部署描述符能够完成应用的安全性配置。为保护Web应用,用户需要将security-domain元素包含在jboss-web.xml中。
<jboss-web>
<security-domain>java:/jaas/dukesbank</security-domain>
...
</jboss-web>
如果需要在EJB层实现访问控制,则用户也可以对jboss.xml文件添加同样的security-domain元素。
<jboss>
<security-domain>java:/jaas/dukesbank</security-domain>
<enterprise-beans>
...
</enterprise-beans>
</jboss>
这将意味着,JBoss会在JNDI名“java:/jaas/dukesbank”下为Duke银行应用绑定安全性管理器实例。所有的安全性域配置在java:/jaas上下文,因此Duke银行应用实际上使用了dukesbank安全性域。
用户通过conf/login-config.xml文件能够配置它。但是,如果浏览Duke银行应用,并不能够找到dukesbank安全性域。一旦JBoss寻找不到相应的安全性域,则它会使用other域。其中,other域的具体配置如下。
<application-policy name="other">
<authentication>
<login-module code="org.jboss.security.auth.spi.UsersRolesLoginModule"
flag="required" />
</authentication>
</application-policy>
此处,登陆模块使用本地属性文件来认证应用。JBoss借助于两个文件进行认证工作。其一,提供用户名、密码;其二,提供角色。比如,如下是Duke银行应用的users.properties。
# users.properties file for use with the UsersRolesLoginModule
# Format is:
#
# username=password
200=j2ee
属性文件的格式非常简单。各行采用username=password的形式。因此,上述文件定义了200用户,其密码为j2ee。这就是用户访问Duke银行应用的帐号。如果用户修改了上述密码,则需要重新部署Web应用。
当然,用户名和密码不是驱动J2EE应用安全性的唯一因素。部署者需要将用户指定角色,因此应用会根据用户的角色信息来决定用户是否有权访问目标资源。只有是Duke银行应用的客户才有权访问它,即通过bankCustomer角色。下面给出了roles.properties文件,用于指定200用户的角色。
# A roles.properties file for use with the UsersRolesLoginModule
#
# Format is
#
# username=role1,role2,role3
200=bankCustomer

为让Duke银行应用使用dukesbank安全性域,而不是使用服务器提供的默认安全性域,开发者还需定义出dukesbank安全性域。因此,开发者需要往conf/login-config.xml文件中添加如下内容:
<application-policy name="dukesbank">
<authentication>
<login-module code="org.jboss.security.auth.spi.UsersRolesLoginModule"
flag="required" />
</authentication>
</application-policy>
注意,需要重启JBoss,否则修改后的login-config.xml不会生效。


使用RDBMS实现安全性
实际应用中,将用户、角色信息存储在数据库中很常见。JBoss提供了称之为DatabaseServerLoginModule的登陆模块,用户只需要做少许的配置即可使用它。用户需要提供如下内容:
分享到:
评论

相关推荐

    JBOSS开发人员指南

    开发者应了解如何创建消息生产者和消费者,以及配置消息队列和主题。 7.2 HornetQ与ActiveMQ JBoss早期版本使用HornetQ作为内置消息服务器,后来转向了ActiveMQ。开发者需要熟悉这两个组件的使用和配置。 八、性能...

    jboss-4.0.2.zip

    EJBs可以实现业务逻辑,并提供事务、安全性、可伸缩性和容错性。 - **Web服务器**:内嵌了Tomcat,负责处理HTTP请求,支持Servlet和JSP技术。 - **JMS服务器**:提供消息传递服务,允许异步通信和解耦应用程序组件...

    JBoss 3.0 Quick Start Guide

    安全性是 JBoss 的一个重要组成部分,书中详细介绍了如何配置安全服务以及使用 JAAS (Java Authentication and Authorization Service) 来实现用户身份验证和授权。 **安全服务配置** - **`org.jboss.security....

    jboss资料大全,内容丰富,搜之不易

    10. **安全性**:JBoss提供基于角色的访问控制(RBAC)和JaAS(Java Authentication and Authorization Service)来管理用户访问权限。熟悉如何配置安全域和授权策略是保障应用安全的基础。 总之,这份"jbos资料...

    jboss-4.2.3.GA_下的jboss-4.2.3.GA_下的

    5. **安全管理**:基于JAAS(Java Authentication and Authorization Service)的认证和授权系统,可以灵活地配置用户权限。 6. **热部署**:允许开发者在运行时更改和更新应用程序,而无需停止服务器。 7. **模块...

    jboss-5.0.0.GA

    它包含了基于角色的访问控制(RBAC)、SSL支持和JAAS(Java Authentication and Authorization Service),确保了应用程序的安全性。 9. **JMS和Web服务**: 支持JMS 1.1,可以创建消息驱动的bean和实现异步通信...

    jboss3 快速入门

    本节详细介绍了如何配置jBoss的安全服务,包括使用JAAS进行认证和授权。 ##### 8.2 Securing Your Application 进一步探讨了如何保护应用程序免受攻击,包括权限控制、身份验证策略等。 #### 九、CMP 2.0 CMP ...

    JBOSS教程

    JBoss提供了基于角色的访问控制(RBAC)和身份验证机制,如JaAS(Java Authentication and Authorization Service),确保了应用的安全性。 **十、故障排查与优化** 当遇到问题时,可以通过查看日志文件、使用JMX...

    JBoss用户操作指南

    1. **JBoss概述** - **定义**:JBoss是基于Java的开放源代码应用服务器,遵循Java EE规范。 - **功能**:包括EJB容器、Web服务器、JMS消息队列、事务处理、安全管理等。 - **版本**:有多个版本,如JBoss AS...

    Jboss4.2.2.GA英文文档

    安全性** 该版本提供了基于角色的访问控制(RBAC)和JAAS(Java Authentication and Authorization Service)的安全框架。这使得开发者可以为应用设置详细的访问权限,保护敏感数据和关键业务流程。 **5. 集群** ...

    jboss7 + EJB3

    7. **安全性** JBOSS7集成了JAAS(Java Authentication and Authorization Service),允许开发者通过`@RolesAllowed`注解来控制访问权限。 8. **MyEJBProject示例** "MyEJBProject"很可能是用户提供的EJB3项目...

    JBOSS SEAM组件中文手册

    5. **安全和身份验证(Security and Authentication)**: Seam集成了JAAS(Java Authentication and Authorization Service),提供了用户认证和权限管理功能。 **三、Seam与Java EE集成** 1. **JSF集成**: Seam与...

    jboss portal手册

    安全性与身份管理** 安全是任何企业级应用的关键。JBoss Portal使用JAAS(Java Authentication and Authorization Service)来处理用户的认证和授权。它支持多种安全模型,如基于角色的访问控制(RBAC)、LDAP集成...

    SAS Portal 集成

    - 在 Logon Manager 中定义安全性约束、认证方法以及安全角色。 - 指定 Logon Manager 将使用的安全性域。 - 确保 Logon Manager 能够正确地从 JBoss 获取当前 Subject 并传递给 Remote Services。 ##### 4. 配置 ...

    springsecurity.pdf

    Acegi Security(后更名为Spring Security)是Spring框架中的一个子项目,专注于提供强大的安全性服务,包括认证(Authentication)和授权(Authorization)。Acegi Security在Spring Security 2.0版本之前被广泛...

    电信设备-基于J2EE技术的人口服务与管理移动终端.zip

    5. **安全性与认证**:J2EE提供多种安全机制,如SSL/TLS协议进行数据传输加密,JAAS(Java Authentication and Authorization Service)进行用户身份验证和权限控制,以及容器管理的事务处理,确保服务的完整性和...

    java EE 5完全学习手册课件

    5. 安全性:学习如何使用JAAS(Java Authentication and Authorization Service)进行身份验证和授权,以及SSL/TLS来保护通信安全。 6. 部署描述符:深入理解web.xml和ejb-jar.xml等部署描述符文件,它们定义了应用...

    【J2EE OA】 项目开发日记.docx

    - 基于JAAS的安全框架。 - **优势**: - **兼容性**: 符合J2EE标准。 - **灵活性**: 支持多种部署方式,易于扩展。 - **性能**: 内存占用小,启动速度快。 - **易用性**: 支持热部署,简化了开发流程。 ##### 2...

    大型项目J2EE金融源代码,仅供java深入开发学习

    金融系统的特性包括高可用性、高性能、安全性以及复杂的数据处理。这些特性在J2EE架构中得以体现,例如,通过集群和负载均衡实现高可用,通过数据库优化和缓存策略提升性能,通过加密和访问控制保障安全性。 3. **...

Global site tag (gtag.js) - Google Analytics