安全机制

liyixing1

浏览: 958951 次
性别:
来自: 江西上饶

最近访客更多访客>>

dawn22

iams13

zxjun8771

Miss_understand

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

activemq

ActiveMQ中所有安全相关的概念都是通过插件的形式实现的.这样可以通过ActiveMQ的XML
配置文件的<plugin>元素来简化配置和自定义安全认证机制.ActiveMQ提供两种认证方式:

    简单认证插件 -- 直接通过XML配置文件或者属性文件处理认证
    JAAS认证插件 -- 实现了JAAS API,提供一种更强大的可自定义的认证解决方案

简单认证

<broker ...>
  <plugins>
    <simpleAuthenticationPlugin>
      <users>
        <authenticationUser username="admin" password="password" groups="admins,publishers,consumers"/>
        <authenticationUser username="publisher" password="password" groups="publishers,consumers"/>
        <authenticationUser username="consumer" password="password" groups="consumers"/>
        <authenticationUser username="guest" password="password" groups="guests"/>
      </users>
    </simpleAuthenticationPlugin>
  </plugins>
</broker>

连接代码可能需要变成类似

private String username = "publisher";
  private String password = "password";
  public Publisher() throws JMSException 
  {
    factory = new ActiveMQConnectionFactory(brokerURL);
    connection = factory.createConnection(username, password);
    connection.start();
    session = connection.createSession(false,
    Session.AUTO_ACKNOWLEDGE);
    producer = session.createProducer(null);
  }

简单认证插件时,密码存储和传输时都是使用明文,这可能对代理的安全造成隐患.可以将简单认证插件和SSL传输连接器配合起来使用,这样至少可以避免在网络中发送明文形式的密码.

JAAS插件
需要login.config文件，也可以指定JVM的java.security.auth.login.config属性，来指定文件名，如
-D java.security.auth.login.config=src/main/resources/org/apache/activemq/book/ch6/login.config

基本内容可以是
activemq-domain
{
org.apache.activemq.jaas.PropertiesLoginModule required debug=true
org.apache.activemq.jaas.properties.user="users.properties"
org.apache.activemq.jaas.properties.group="groups.properties";
};

activemq-domain模块内容是主要属性。
第一 org.apache.activemq.jaas.PropertiesLoginModule required debug=true，指定了实现类是org.apache.activemq.jaas.PropertiesLoginModule，required表示验证需要加载该类后进行，否则无法进行，debug=true登陆模块开启调试日志配置
第二个和第三个表示用户和组分别读取文件。

users.properties中每一行定义一个用户,使用用户名=密码的格式,如下所示:

admin=password
publisher=password
consumer=password
guest=password

groups.properties中同样每一行定义一个群组.但是群组=后面是一组通过逗号分割的用户名,
表示这些用户属于该群组,如下所示:

admins=admin
publishers=admin,publisher
consumers=admin,publisher,consumer
guests=guest

activemq配置文件的插件部分修改为
<plugins>
<jaasAuthenticationPlugin configuration="activemq-domain" />
</plugins>

其他的实现可以再activemq中找到。

授权
有两种机制
操作级别授权和消息级别授权.这两者授权方式提供了
比简单认证方式更细致的访问控制

目的地级别的授权
针对JMS消息目的地一共有三种用户操作权限:
    读     -- 具有从特定目的地接收消息的权限
    写     -- 具有发送消息到特定目的地的权限
    管理   -- 具有管理消息目的地的权限

示例

<plugins>
  <jaasAuthenticationPlugin configuration="activemq-domain" />
  <authorizationPlugin>
    <map>
      <authorizationMap>
        <authorizationEntries>
          <authorizationEntry topic=">" read="admins" write="admins" admin="admins" />
          <authorizationEntry topic="STOCKS.>" read="consumers" write="publishers" admin="publishers" />
          <authorizationEntry topic="STOCKS.ORCL" read="guests" />
          <authorizationEntry topic="ActiveMQ.Advisory.>" 
                              read="admins,publishers,consumers,guests" 
                              write="admins,publishers,consumers,guests" 
                              admin="admins,publishers,consumers,guests" />
        </authorizationEntries>
      </authorizationMap>
    </map>
  </authorizationPlugin>
</plugins>

消息级别的授权
消息级别的授权需要通过编码方式实现，实现MessageAuthorizationPolicy接口，

public class AuthorizationPolicy implements MessageAuthorizationPolicy 
{
  private static final Log LOG = LogFactory.getLog(AuthorizationPolicy.class);
  
  public boolean isAllowedToConsume(ConnectionContext context,Message message) 
  {
    LOG.info(context.getConnection().getRemoteAddress());
    String remoteAddress = context.getConnection().getRemoteAddress();
    if (remoteAddress.startsWith("/127.0.0.1")) 
    {
      LOG.info("Permission to consume granted");
      return true;
    } 
    else 
    {
      LOG.info("Permission to consume denied");
      return false;
    }
  }
}

如上，只有本机的消息允许被发送和访问。
另外还需要把该实现类通过配置文件配置进activemq的配置文件。

<broker>
  ..
<messageAuthorizationPolicy>
  <bean class="org.apache.activemq.book.ch6.AuthorizationPolicy" xmlns="http://www.springframework.org/schema/beans" />
</messageAuthorizationPolicy>
  ..
</broker>

插件
两种方式，
1.JAAS安全插件，如上JAAS。

2.自定义插件

先实现过滤器
BrokerFilter

public class IPAuthenticationBroker extends BrokerFilter 
{
  List<String> allowedIPAddresses;
  Pattern pattern = Pattern.compile("^/([0-9\\.]*):(.*)");
 
  public IPAuthenticationBroker(Broker next, List<String> allowedIPAddresses) 
  {
    super(next);
    this.allowedIPAddresses = allowedIPAddresses;
  }
  
  public void addConnection(ConnectionContext context, ConnectionInfo info) throws Exception 
  {
    String remoteAddress = context.getConnection().getRemoteAddress();
    Matcher matcher = pattern.matcher(remoteAddress);
    if (matcher.matches()) 
    {
      String ip = matcher.group(1);
      if (!allowedIPAddresses.contains(ip)) 
      {
        throw new SecurityException("Connecting from IP address " + ip + " is not allowed" );
      }
    } 
    else 
    {
      throw new SecurityException("Invalid remote address " + remoteAddress);
    }
    super.addConnection(context, info);
  }
}

由于拦截其是链结构的，public IPAuthenticationBroker(Broker next, List<String> allowedIPAddresses)
{
super(next);
this.allowedIPAddresses = allowedIPAddresses;
}

如上构造函数是为了保证自己的拦截器不会破坏原本的链。
接着是实现一个插件，该插件的作用是向Activemq注册过滤器，

public class IPAuthenticationPlugin implements BrokerPlugin 
{
  List<String> allowedIPAddresses;
  public Broker installPlugin(Broker broker) throws Exception 
  {
//返回一个过滤器实例
    return new IPAuthenticationBroker(broker, allowedIPAddresses);
  }
  
  public List<String> getAllowedIPAddresses() 
  {
    return allowedIPAddresses;
  }
  
  public void setAllowedIPAddresses(List<String> allowedIPAddresses) 
  {
    this.allowedIPAddresses = allowedIPAddresses;
  }
}

接着是把插件配置进去

<broker xmlns="http://activemq.apache.org/schema/core" brokerName="localhost" dataDirectory="${activemq.base}/data">
  <plugins>
    <bean xmlns="http://www.springframework.org/schema/beans" id="ipAuthenticationPlugin" class="org.apache.activemq.book.ch6.IPAuthenticationPlugin">
      <property name="allowedIPAddresses">
        <list>
          <value>127.0.0.1</value>
        </list>
      </property>
    </bean>
  </plugins>
 
  <transportConnectors>
    <transportConnector name="openwire" uri="tcp://localhost:61616" />
  </transportConnectors>
</broker>

基于证书
activemq的安全机制实现过证书的授权，更多详情查看最新的activemq文档。

分享到：

JRE最小化原理 | 与spring结合

2014-10-15 15:22
浏览 1247
评论(0)
分类:开源软件
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

安全机制

评论

发表评论

相关推荐

最近访客 更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

安全机制

评论

发表评论

相关推荐

activemq in action 翻译

高并发

删除不活动的队列（Delete Inactive Destinations）

代理网络中消息传递

企业部署

REST和AJAX

与spring结合

activemq 消息存储

ActiveMQ配置 连接activemq

ActiveMQ简介

jms-spring

jms-事物

过滤器与消息选择器

发布订阅模式

jms-点对点

jms-message对象

jms基础，与例子

jms的两种模式

最近访客更多访客>>

ActiveMQ配置连接activemq