54
福
建电
脑
维普资讯http://www.cqvip.com
20年第505期
Jv2环境JAaaAS研究与实现
陈李胜汪文勇
(电子科技大学
计算机四川成都605)104
【摘要1本文介绍了Jy2环境下是如何通过Ja认证与授权服务(aaAtetainadaaavJuhnitnvcoAtoiaiSr1e(AS)实现Ja安全性的一个重要方面即存取控制的,uhrtrevsJA)来zOlcav同时给出了JAAS在Wbe
应用(eplain的一个实现.WbApct)1o
【关键词】JA;aa安全性;;ASJv认证授权
Pnia.rdni三个类组成;认证类包括Lgnottiprc1CeetlaoiCne,x1前言oiMoueClakade和abcll随着Jvaa2平台的应用越来越广泛,尤其是JE2E在企业Lgndl.abcHnlrClak四个类;授权类包括oc.uhrioiPsn和PiaCeetPrsirtrdnaemioveilsn三个类.下级
系统的和电子商务系统中的大量应用,人们对Jv平台的安PlvAtemsiaa
全性也越来越关注.安全性逐渐成为人们选择信息化解决
方案面将对以上各类作简单介绍.1公共类1的一个关键因素.随着计算机(尤其是因特网)技术的发展,安全·Sbcujte主题类,是整个JA的核心.ujtASSbc是e性攻击正变得越来越成熟和频繁.要保证Jv平台的安全性,aa应用认证技术(身份验证和授权)如就是其中一个重要的关键.种Jvaa对象.它表示单个实体,如一个用户或一向服务.一个ujc每个身份都由一个Picp对rianl身份认证和授权是安全中的一个很重要的部分,多系统包括Sbet可以有许多个相关身份,很ujc还可以包含两组凭证,公有凭证和私有凭操作系统,应用系统等都离不开身份认证和授权.其中一个典型象表示.一个Sbet用rdnila的例子就是Lnx作系统对多用户的管理.在RdHaLnx证.Ceet表示.iu操etiu·Pnia身份类.rca对象表示一种身份,且不ilrcpPiilnp并用户的基本信息包含在/tpswecasd中,/包括用户I用户口令和D,组I.并且系统每个目录和文件都被设置了访问权限信息,是持久的.以每次使用者登人时都必须将它们新增到Sbc.D等所ujteipujte.如用户
登陆Lnx须输入正确的用户名和口令,才能对指定的Pnia作为成功认证过程的一部分被新增到Sbc同样,i必urcl则从Sbetujc中除去Pnia.不管认证成功与否,ircpl系统资源(即授权访问的资源)进行访问.这一过程就包括了身果认证失败.当应用
程序执行注销时,除去所有Pnia.将ircpl份认证和授权Jv证与授权服务(AS正是顺应这种安全性的要求aa认JA)·Ccet凭证类.rdni表示一种凭证,rdnilaCeetla分为公有而产生的.为Jv平台提供了基于代码运行者的存取控制能凭证和私有凭证,用来将将一些除了Pnia之外的安全相关它aaiprcl力,而进一步保证了Jv平台的安全性,从aa目前已经纳入id的属性和Sbet2ksujc联系起来.如密码,钥证书等.凭证可以用各公种Jv类表示aa1.4正式成为标准的安全性模块.2AS基本概念JA2,认证类·LgCnet登人上下文类.oiCnet用一个配oiotnxLgnot使x21什么是JAS.A
一
JAS即JvA.aa认证与授权服务,SN公司为了进一步增置文件来确定使用哪个LgMdl是Uoioune对用户进行认证.这个配置a.cryuh1i.fvsiaoog指定.强Jv2安全框架的功能而提供的编程接口.目的是提供基于可以通过系统属性iaeut.t.gncniaa代码运行者的存取控制能力;而原来的Jv2安全框架提供的aa·LgMdl登入模块类,开发人员通过实现不同oiouen是基于代码源的存取控制方式,即基于代码从哪里来,签署了L~ndi类实现不同的认证技术的功能.这些认证技术可以谁oMotel代码.插在应用程序的下面.因为JAAS登入结构体系是可扩展的.所认证就是校验一个用户拥有使用已经被企业用户
注册机构以你只要在配置文件中指定使用哪个LgMouoidl块就可以ne模证明了的身份鉴定的权限的处理过程.AS的认证机制建立于几乎全部插入任何LgMoue模块.如基于XJAoidlnML文件的整套可插拔的模块基础上,AS允许不同的验证模型在运行Lgndl,JAoiMoue基于关系数据库的Lgndl.oiMoue等时可被插拔.客户应用总是通过登入上下文对象和JAAS交互.·Claknlr回调处理类,abcHnlr类被abcHadelClakadel授权是决定是否认证的用户可以执行一些动作的
工作.例ndlMoue类用来跟用户
通信如用户名,密码等以便于取得认如访问一处资源.因为JS建立于已经存在的JvAAaa安全模型证信息.Clakade类处理三种类型的回调(abc)abcHnlrlClak:l的基础上,这个过程是基于策略的.故策略配置文件实质上包含NmClak提示用户输入一个用户名;asodalc,aeabc,lPswrClak提示c了一系列的人口.诸如"esr"或"rn"gat口包含了输入密码;etuuabc,Kyte和,gat.rn人oTxOttlak
报告错误,告或者发送给用户一pCl警所有的权限.它是通过认证的代码或者法则被授予可以进行安些其它信息.全敏感的操作,如,问一个具体的We面或者本地的文例访b页·Clak回调类.用于ClaknlrabclabcHade中保存用户通l件.AS的基于Pnia的安全政策.JAircpl其中每个Pnia对象信信息.iprcl有以下几种类型Clak其中Nmeabcabc.laClak保存用户l表示同一个用户的不同"身份".一个基于代码运行者的授权示名,asodacc存密码,etuptabc存错误警PswrClak保lTxOtuClak保l例如下:告等信息.