Jboss+EJB3下使用JAVA验证和授权服务(JAAS)

zhangli.lisa

浏览: 184855 次
性别:
来自: 青岛

最近访客更多访客>>

mtr1234567

chenhao_java

Billy3

zhongzunfa

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

EJB3.0

JBoss Java XML SQL Server 配置管理

JAVA验证和授权服务(JAAS).JAAS具有两个特性：验证（Authentication）和授权（authorization），认证是完成用户名和密码的匹配校验；授权是决定用户可以访问哪些资源，授权是基于角色的.
一.基于属性的JAAS
1.定义用户和角色:
   Jboss 默认的安全域”other”, “other”安全域告诉容器到classpath 中的users.propertes 和roles.properties找密码和用户角色列表。”other”安全域的定义在[jboss 安装目录]/server/default/conf/login-config.xml 文件。
       这两个文件必须存放于类路径下。在进行用户验证时，Jboss 容器会自动寻找这两个文件。
        “other”安全域默认情况下是不允许匿名用户(不提供用户名及密码)访问的,如果你想使匿名用户也可访问通过@PermitAll 注释定义的资源，这样就不用修改login-config.xml文件.
2.定义安全域

第一种方法：通过Jboss 发布文件(jboss.xml)进行定义

<?xml version="1.0" encoding="UTF-8"?>
   <jboss>
      <security-domain>other</security-domain>
      <unauthenticated-principal>AnonymousUser</unauthenticated-principal>
   </jboss>

jboss.xml 必须打进Jar 文件的META-INF 目录。

第二种方法：通过@SecurityDomain 注释进行定义，注释代码片断如下

@Stateless
@Remote ({SecurityAccess.class})
@SecurityDomain("other")   //通过注释定义为other,硬写在程序中,这样不便于维护,一般不提倡这样做.
public class SecurityAccessBean implements SecurityAccess{..........

3.为业务方法定义角色

@Stateless   
@Remote ({SecurityAccess.class})    
public class SecurityAccessBean implements SecurityAccess{    
   
    @RolesAllowed({"AdminUser"})    
    public String AdminUserMethod() {      
        return "具有管理员角色的用户才可以访问AdminUserMethod()方法";    
    }    
   
    @RolesAllowed({"DepartmentUser"})    
    public String DepartmentUserMethod() {    
        return "具有事业部门角色的用户才可以访问DepartmentUserMethod()方法";    
    }    
   
    @PermitAll   
    public String AnonymousUserMethod() {    
        return "任何角色的用户都可以访问AnonymousUserMethod()方法, 注：用户必须存在users.properties文件哦";    
    }    
   
}

@Stateless
@Remote ({SecurityAccess.class})
public class SecurityAccessBean implements SecurityAccess{

    @RolesAllowed({"AdminUser"})
    public String AdminUserMethod() {  
        return "具有管理员角色的用户才可以访问AdminUserMethod()方法";
    }

    @RolesAllowed({"DepartmentUser"})
    public String DepartmentUserMethod() {
        return "具有事业部门角色的用户才可以访问DepartmentUserMethod()方法";
    }

    @PermitAll
    public String AnonymousUserMethod() {
        return "任何角色的用户都可以访问AnonymousUserMethod()方法, 注：用户必须存在users.properties文件哦";
    }

}

@RolesAllowed 注释定义允许访问方法的角色列表，如角色为多个，可以用逗号分隔。@PermitAll 注释定义所有的角色都可以访问此方法。

4.测试:

<%@ page contentType="text/html; charset=GBK"%>
<%@ page import="com.SecurityAccess,javax.naming.*,org.jboss.security.*,java.util.*"%>

<%Properties props = new Properties();
 props.setProperty("java.naming.factory.initial","org.jnp.interfaces.NamingContextFactory");
props.setProperty("java.naming.provider.url", "localhost:1099");
props.setProperty("java.naming.factory.url.pkgs", "org.jboss.naming");
InitialContext ctx = new InitialContext(props);
String user = request.getParameter("user");
String pwd = request.getParameter("pwd");
if (user!=null && !"".equals(user.trim())){
  SecurityAssociation.setPrincipal(new SimplePrincipal(user.trim()));
  SecurityAssociation.setCredential(pwd.trim().toCharArray());
}
SecurityAccess securityaccess = (SecurityAccess)ctx.lookup("SecurityAccessBean/remote");
try{
    out.println("<font color=green>调用结果:</font>"+securityaccess.AdminUserMethod()+ "<br>");
}catch(Exception e){
  out.println(user+ "没有权限访问AdminUserMethod方法<BR>");
}

out.println("==========================<BR>");
 try{
   out.println("<font color=green>调用结果:</font>"+securityaccess.DepartmentUserMethod()+ "<br>");
 }catch(Exception e){
   out.println(user+ "没有权限访问DepartmentUserMethod方法<BR>");
}

out.println("==========================<BR>");
try{
  out.println("<font color=green>调用结果:</font>"+securityaccess.AnonymousUserMethod()+ "<br>");
}catch(Exception e){
    out.println(user+ "没有权限访问AnonymousUserMethod方法<BR>");
}

SecurityAssociation.clear();%>

<html>
 <head><title>安全访问测试</title></head>
 <body>
  <center><h2>安全访问测试</h2></center><br />
   请输入你的用户名及密码<br /><form method="POST" action="SecurityAccessTest.jsp">
   Username: <input type="text" /><br />
   Password: <input type="password" /><br />
   <input type="submit" value="身份验证"/>
  </form>

<p>管理员用户名: <STRONG>lihuoming</STRONG>&nbsp;&nbsp;密码: <STRONG>123456</STRONG></p>
<p>事业部用户名: <STRONG>zhangfeng</STRONG>&nbsp;&nbsp;密码<STRONG>111111</STRONG></p>
<p>合作伙伴用户名: <STRONG>wuxiao</STRONG>&nbsp;&nbsp;密码<STRONG>123</STRONG></p></body></html>

二.基于DB的JAAS
1.定义安全域:

安全域在[jboss 安装目录]/server/default/conf/login-config.xml 文件中新增加一个定义，本例配置片断如下：

<application-policy >
  <authentication>
   <login-module code="org.jboss.security.auth.spi.DatabaseServerLoginModule"  flag="required"> 
    <module-option >java:/MySqlDS</module-option>
    <module-option >  select password from sys_user where >  </module-option>
    <module-option >   select A.rolename,'Roles' from sys_userrole  as  A, sys_user  B   where B.name=A.username and username=?  </module-option>
    <module-option >AnonymousUser</module-option>
  </login-module>
 </authentication>
 </application-policy>

注意:principalsQuery 属性定义Jboss 通过给定的用户名如何获得密码；rolesQuery 属性定义Jboss通过给定的用户名如何获得角色列表，注意:SQL 中的'Roles'常量字段不能去掉,将在查询的记录中都加上Roles字符串.有些书上,这个sql语句是错误的

2.自定义安全域使用的sys_user 和sys_userrole 表:

CREATE TABLE `sys_user` (
`name` varchar(45) NOT NULL,
`password` varchar(45) NOT NULL,
PRIMARY KEY (`name`)
) ENGINE=InnoDB DEFAULT CHARSET=gb2312;

CREATE TABLE `sys_userrole` (
`username` varchar(45) NOT NULL,
`rolename` varchar(45) NOT NULL,
PRIMARY KEY (`username`,`rolename`)
) ENGINE=InnoDB DEFAULT CHARSET=gb2312;

3.修改jboss.xml ,改为所定义的新安全域

<?xml version="1.0" encoding="UTF-8"?>
 <jboss>
  <security-domain>youname</security-domain>
  <unauthenticated-principal>AnonymousUser</unauthenticated-principal>
 </jboss>

分享到：