Java Authentication Authorization Service（JAAS，Java驗證和授權API）提供了靈活和可伸縮的機制來保證客戶端或服務器端的Java程序。Java早期的安全框架強調的是通過驗證代碼的來源和作者，保護用戶避免受到下載下來的代碼的攻擊。JAAS強調的是通過驗證誰在運行代碼以及他／她的權限來保護系統面受用戶的攻擊。它讓你能夠將一些標準的安全機制，例如Solaris NIS（網絡信息服務）、Windows NT、LDAP（輕量目錄存取協議），Kerberos等通過一種通用的，可配置的方式集成到系統中。

JAAS簡介

　　Java安全框架最初集中在保護用戶運行潛在的不可信任代碼，是基于代碼的來源（URL）和誰創建的代碼（certificate）來給移動代碼進行授權。Java 2 SDK 1.3引入了JAAS（ Java Authentication and Authorization Service）,增加了基于用戶的訪問控制能力，即根據誰在運行代碼來進行授權。JAAS已經整合進了Java 2 SDK 1.4，作為標準的用戶認證與授權模型。

JAAS用戶認證框架

　　JAAS認證被實現為可插入的方式，允許應用程序同底層的具體認證技術保持獨立，新增或者更新認證方法并不需要更改應用程序本身。應用程序通過實例化LoginContext對象開始認證過程，引用配置文件中的具體認證方法，即LoginModule對象，來執行認證。

JAAS：可插入式認證

　　一旦執行代碼的用戶通過了認證，JAAS授權組件將和核心Java訪問控制模型一起工作，來保護對敏感資源的訪問。從J2SDK 1.4開始，訪問控制不僅基于代碼的來源和簽名者（CodeSource），而且還要檢查誰在運行代碼。執行代碼的用戶被表現為Subject對象，如果LoginModule認證成功，Subject對象被更新為相應的Principals和credentials。25.1.1. 一個簡單的例子 　　本節通過一個簡單的例子介紹JAAS開發的基本步驟。本節中的范例位于Apusic應用服務器安裝目錄中的docs/samples/jaas/simple目錄。有關范例的內容、編譯、部署與運行，可參考docs/samples/jaas/simple目錄下的readme.txt文件。 　　范例程序的代碼分為兩部分，一部分為主程序，執行用戶認證過程，源程序如下： 　　package samples; 　　import javax.security.auth.Subject; 　　import javax.security.auth.login.LoginContext; 　　import javax.security.auth.login.LoginException; 　　import com.sun.security.auth.callback.TextCallbackHandler; 　　public class CountFiles { 　　static LoginContext lc = null; 　　public static void main(String[] args) { 　　//使用配置文件中名字為“CountFiles”的條目 　　try { 　　lc = new LoginContext("CountFiles", 　　new TextCallbackHandler()); 　　} catch (LoginException le) { 　　le.printStackTrace(); 　　System.exit(-1); 　　} 　　try { 　　lc.login(); 　　//如果沒有異常拋出，則表示認證成功 　　} catch (Exception e) { 　　System.out.println("Login failed: " + e); 　　System.exit(-1); 　　} 　　//以認證用戶的身份執行代碼 　　Object o = Subject.doAs(lc.getSubject(), new CountFilesAction()); 　　System.out.println("User " + lc.getSubject( ) + " found " + o + " files."); 　　System.exit(0); 　　} 　　} 　　可以看出，主程序包含了三個重要的步驟：首先構造一個LoginContext對象，然后使用這個對象進行登錄，最后，把用戶作為doAs方法一個參數。 　　另一部分表示用戶想要執行的具體操作，源程序如下： 　　package samples; 　　import java.io.File; 　　import java.security.PrivilegedAction; 　　class CountFilesAction implements PrivilegedAction { 　　public Object run() { 　　File f = new File("."); 　　File[] files = f.listFiles(); 　　return new Integer(files.length); 　　} 　　}

25.1.2. JAAS核心類和接口

　　JAAS相關的核心類和接口分為三類，公共、認證和授權。 　　公共類：Subject,，Principal，Credential 　　認證類和接口：LoginContext，LoginModule，CallbackHandler，Callback 　　授權類 ：Policy，AuthPermission，PrivateCredentialPermission 　　詳細的描述請參考《JAAS Reference Guide》。 　　25.1.3. 配置LoginModules 　　JAAS認證被實現為一種可插入的方式，系統管理員可以通過配置文件為每一個應用程序配置LoginModuls來決定應用程序使用的認證技術。配置信息可以保存在文件或數據庫中，通過javax.security.auth.login.Configuration對象進行讀取。javax.security.auth.login.Configuration為抽象類，JDK提供了可實例化的子類com.sun.security.auth.login.ConfigFile，從文件中讀取配置信息。配置文件中包含一個或多個條目，每一個條目指明了特定應用程序使用的認證方法。條目的結構如下： 　　<name used by application to refer to this entry> { 　　<LoginModule> <flag> <LoginModule options>; 　　<optional additional LoginModules, flags and options>; 　　}; 　　可以看出，每一個條目由名字和一個或多個LoginModule組成。范例程序使用的配置文件login.conf內容如下： 　　CountFiles { 　　com.apusic.security.auth.login.ClientPasswordLoginModule required; 　　}; 　　詳細的描述信息可以參考Configuration。

25.1.4. 編寫Policy文件

　　JAAS授權擴展了現有的Java安全體系結構，在給代碼授權時可以包括一個多個Principal域，指出Principal代表的用戶執行特定的代碼時，具有分配的權限。因此，授權聲明的基本形式為： 　　grant <signer(s) field>, <codeBase URL> 　　<Principal field(s)> { 　　permission perm_class_name "target_name", "action"; 　　.... 　　permission perm_class_name "target_name", "action"; 　　}; 　　缺省的策略文件實現和策略文件語法請參考《Default Policy Implementation and Policy File Syntax》。范例程序使用的策略文件policy.jaas內容如下： 　　grant codeBase "file:./build" { 　　permission java.security.AllPermission; 　　}; 　　grant codeBase "file:/${apusic.home}/lib/apusic.jar" { 　　permission java.security.AllPermission; 　　}; 　　grant codeBase "file:./build/actions" Principal com.apusic.security.PrincipalImpl "admin" { 　　permission java.io.FilePermission "<<ALL FILES>>", "read"; 　　}; 　　可以看出，給主程序和apusic.jar授予了所有權限；當執行具體操作的用戶為“admin”時，授予了讀取所有文件的權限。

25.1.5. 運行范例程序

　　范例程序提供了ant的build.xml腳本，請用戶自己下載并安裝ant。運行范例程序的步驟為： 　　首先啟動Apusic應用服務器， 范例程序將登錄服務器。 　　編譯、運行程序。在simple目錄下執行ant命令，會編譯源程序CountFiles.java到build目錄下，編譯源程序CountFilesAction.java到build/actions目錄下。然后會自動運行程序，相當于在命令行敲入下面的java命令： 　　java -classpath %APUSIC_HOME%/lib/apusic.jar;./build;./build/actions 　　-Djava.security.manager 　　-Djava.security.policy==policy.jaas 　　-Djava.security.auth.login.config==login.conf 　　-Dapusic.home=%APUSIC_HOME% samples.CountFiles 　　根據提示輸入服務器，用戶名和口令。 如果用“admin”登錄，程序將正常運行結束，若使用其他用戶名登錄，將拋出訪問控制異常。

總結

以上是生活随笔為你收集整理的JAAS 简介的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。