Jboss+EJB3下使用JAVA验证和授权服务(JAAS)

mht19840918

浏览: 196676 次
性别:
来自: 上海

最近访客更多访客>>

praise_song

h416373073

xray2100

fhtwins

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

JBoss Java XML SQL Server 配置管理

JAVA验证和授权服务(JAAS).JAAS具有两个特性：验证（Authentication）和授权（authorization），认证是完成用户名和密码的匹配校验；授权是决定用户可以访问哪些资源，授权是基于角色的.

一.基于属性的JAAS

1.定义用户和角色:
 Jboss 默认的安全域”other”, “other”安全域告诉容器到classpath 中的users.propertes 和roles.properties找密码和用户角色列表。”other”安全域的定义在[jboss 安装目录]/server/default/conf/login-config.xml 文件。

 这两个文件必须存放于类路径下。在进行用户验证时，Jboss 容器会自动寻找这两个文件。

 “other”安全域默认情况下是不允许匿名用户(不提供用户名及密码)访问的,如果你想使匿名用户也可访问通过@PermitAll 注释定义的资源，这样就不用修改login-config.xml文件.

2.定义安全域
 第一种方法：通过Jboss 发布文件(jboss.xml)进行定义
<?xml version="1.0" encoding="UTF-8"?>
<jboss>
<security-domain>other</security-domain>
<unauthenticated-principal>AnonymousUser</unauthenticated-principal>
</jboss>
jboss.xml 必须打进Jar 文件的META-INF 目录。

 第二种方法：通过@SecurityDomain 注释进行定义，注释代码片断如下
@Stateless
@Remote ({SecurityAccess.class})
@SecurityDomain("other") //通过注释定义为other,硬写在程序中,这样不便于维护,一般不提倡这样做.
public class SecurityAccessBean implements SecurityAccess{
..........

3.为业务方法定义角色

view plaincopy to clipboardprint?

1. @Stateless

2. @Remote ({SecurityAccess.class})

3. public class SecurityAccessBean implements SecurityAccess{

4.

5. @RolesAllowed({"AdminUser"})

6. public String AdminUserMethod() {

7. return "具有管理员角色的用户才可以访问AdminUserMethod()方法";

8. }

9.

10. @RolesAllowed({"DepartmentUser"})

11. public String DepartmentUserMethod() {

12. return "具有事业部门角色的用户才可以访问DepartmentUserMethod()方法";

13. }

14.

15. @PermitAll

16. public String AnonymousUserMethod() {

17. return "任何角色的用户都可以访问AnonymousUserMethod()方法, 注：用户必须存在users.properties文件哦";

18. }

19.

20. }<PRE></PRE>

@Stateless

@Remote ({SecurityAccess.class})

public class SecurityAccessBean implements SecurityAccess{

 @RolesAllowed({"AdminUser"})

 public String AdminUserMethod() {

 return "具有管理员角色的用户才可以访问AdminUserMethod()方法";

 }

 @RolesAllowed({"DepartmentUser"})

 public String DepartmentUserMethod() {

 return "具有事业部门角色的用户才可以访问DepartmentUserMethod()方法";

 }

 @PermitAll

 public String AnonymousUserMethod() {

 return "任何角色的用户都可以访问AnonymousUserMethod()方法, 注：用户必须存在users.properties文件哦";

 }

}

@RolesAllowed 注释定义允许访问方法的角色列表，如角色为多个，可以用逗号分隔。@PermitAll 注释定义所有的角色都可以访问此方法。

4.测试:
<%@ page contentType="text/html; charset=GBK"%>
<%@ page import="com.SecurityAccess,
javax.naming.*,
org.jboss.security.*,
java.util.*"%>
<%
Properties props = new Properties();
props.setProperty("java.naming.factory.initial",
"org.jnp.interfaces.NamingContextFactory");
props.setProperty("java.naming.provider.url", "localhost:1099");
props.setProperty("java.naming.factory.url.pkgs", "org.jboss.naming");
InitialContext ctx = new InitialContext(props);
String user = request.getParameter("user");
String pwd = request.getParameter("pwd");
if (user!=null && !"".equals(user.trim())){
SecurityAssociation.setPrincipal(new SimplePrincipal(user.trim()));
SecurityAssociation.setCredential(pwd.trim().toCharArray());
}
SecurityAccess securityaccess = (SecurityAccess)
ctx.lookup("SecurityAccessBean/remote");
try{
out.println("调用结果:"+
securityaccess.AdminUserMethod()+ " ");
}catch(Exception e){
out.println(user+ "没有权限访问AdminUserMethod方法 ");
}
out.println("========================== ");
try{
out.println("调用结果:"+
securityaccess.DepartmentUserMethod()+ " ");
}catch(Exception e){
out.println(user+ "没有权限访问DepartmentUserMethod方法 ");
}
out.println("========================== ");
try{
out.println("调用结果:"+
securityaccess.AnonymousUserMethod()+ " ");
}catch(Exception e){
out.println(user+ "没有权限访问AnonymousUserMethod方法 ");
}
SecurityAssociation.clear();
%>
<html>
<head>
<title>安全访问测试</title>
</head>
<body>
<center><h2>安全访问测试</h2></center>
 
请输入你的用户名及密码
 
<form method="POST" action="SecurityAccessTest.jsp">
Username: <input type="text" />
 
Password: <input type="password" />
 
<input type="submit" value="身份验证"/>
</form>

管理员用户名: lihuoming  密码: 123456

事业部用户名: zhangfeng  密码111111
合作伙伴用户名: wuxiao  密码123
</body>
</html>

二.基于DB的JAAS

1.定义安全域:
 安全域在[jboss 安装目录]/server/default/conf/login-config.xml 文件中新增加一个定义，本例配置片断如下：
<application-policy >
<authentication>
<login-module code="org.jboss.security.auth.spi.DatabaseServerLoginModule"
flag="required">
<module-option >java:/MySqlDS</module-option>
<module-option >
select password from sys_user where > </module-option>
<module-option >
 select A.rolename,'Roles' from sys_userrole as A, sys_user B where B.name=A.username and username=?
</module-option>
<module-option >AnonymousUser</module-option>
</login-module>
</authentication>
</application-policy>
注意:principalsQuery 属性定义Jboss 通过给定的用户名如何获得密码；rolesQuery 属性定义Jboss通过给定的用户名如何获得角色列表，注意:SQL 中的'Roles'常量字段不能去掉,将在查询的记录中都加上Roles字符串.有些书上,这个sql语句是错误的

2.自定义安全域使用的sys_user 和sys_userrole 表:
CREATE TABLE `sys_user` (
`name` varchar(45) NOT NULL,
`password` varchar(45) NOT NULL,
PRIMARY KEY (`name`)
) ENGINE=InnoDB DEFAULT CHARSET=gb2312;
CREATE TABLE `sys_userrole` (
`username` varchar(45) NOT NULL,
`rolename` varchar(45) NOT NULL,
PRIMARY KEY (`username`,`rolename`)
) ENGINE=InnoDB DEFAULT CHARSET=gb2312;

3.修改jboss.xml ,改为所定义的新安全域
<?xml version="1.0" encoding="UTF-8"?>
<jboss>
<security-domain>example</security-domain>
<unauthenticated-principal>AnonymousUser</unauthenticated-principal>
</jboss>

分享到：