亚洲人成77777在线播放网站,亚洲精品人成电影网,亚洲短视频在线观看

JAAS 实例配置

哼哼 — Sat, 10 Mar 2007 05:04:00 GMT

sun公司提供�?ji��n)一个关于JAAS的实例，可供大家实际分析JAAS使用原理�Q�本人在�|�上找了(ji��n)�怹��q�方面的文章�Q�希望与大家分��n�?br />
1、首先下载实例代�?br />
http://java.sun.com/j2se/1.4.2/docs/guide/security/jaas/tutorials/sample_jaas.config
http://java.sun.com/j2se/1.4.2/docs/guide/security/jaas/tutorials/SampleAcn.java
http://java.sun.com/j2se/1.4.2/docs/guide/security/jaas/tutorials/SampleLoginModule.java
http://java.sun.com/j2se/1.4.2/docs/guide/security/jaas/tutorials/SamplePrincipal.java
http://java.sun.com/j2se/1.4.2/docs/guide/security/jaas/tutorials/sampleacn.policy

2、SampleAcn.java 攑֜� sample 目录�? SampleLoginModule.java 攑֜� sample/module 之下, �?SamplePricipal 攑֜� sample/principal 之下�?br /> (t��ng)
3、将 config �?policy 配置文�g攑ֈ��目的根目录中，切记�Q�否则无法找到此文�g�?br />
4、将所有文件编译后执行以下命��o(h��)

java -Djava.security.auth.login.config==sample_jaas.config sample.SampleAcn

如果使用Eclipse则在Run... SampleAcn.java �c�L��?Djava.security.auth.login.config==sample_jaas.config 参数填写入Arguments标签��面的VM arguments框中�?br />
5、此时在控制台显�C��求用戯��入user name:和password:�Q�分别输入testUser和testPassword卛_��验证通过�?br />
至于Jaas原理�Q�大家有旉��可以研究一下源代码卛_��?br />

哼哼 2007-03-10 13:04 发表评论

哼哼 — Fri, 02 Mar 2007 08:32:00 GMT

John Musser/Paul Feuer �?/font>

Java Authentication Authorization Service�Q�JAAS�Q�Java验证和授权API�Q�提供了(ji��n)灉|��和可伸羃的机制来保证客户端或服务器端的Java�E�序。Java早期的安全框架强调的是通过验证代码的来源和作者，保护用户避免受到下蝲下来的代码的��d��。JAAS��的是通过验证谁在�q�行代码以及(qi��ng)他／她的权限来保护系�l�面受用��L(f��ng)��d��。它让你能够��一些标准的安全机制�Q�例如Solaris NIS�Q�网�l�信息服务）(j��)、Windows NT、LDAP�Q�轻量目录存取协议）(j��)�Q�Kerberos�{�通过一�U�通用的，可配�|�的方式集成到系�l�中。本文首先向你介�l�JAAS验证中的一些核�?j��)部分，然后通过例子向你展示如何开发登录模块�?br />
　　你是否曾�l�需要�ؓ(f��)一个应用程序实现登录模块呢�Q�如果你是一个比较有�l�验的程序员�Q�相信你�q�样的工作做�q�很多次�Q�而且每次都不完全一栗��你有可能把你的��d��模块建立在Oracle数据库的基础上，也有可能使用的是NT的用户验证，或者��用的是LDAP目录。如果有一�U�方法可以在不改变应用程序��的代码的基础上支持上面提到的所有这一些安全机�Ӟ��对于�E�序员来说一定是一件幸�q�的事�?br />
　　现在你可以��用JAAS实现上面的目标。JAAS是一个比较新的的Java API。在J2SE 1.3中，它是一个扩展包�Q�在J2SE 1.4中变成了(ji��n)一个核�?j��)包。在本文中，我们��介�l�JAAS的一些核�?j��)概念，然后通过例子说明如何��JAAS应用到实际的�E�序中。本文的例子是根据我们一个基于Web的Java应用�E�序�q�行改编的，在这个例子中�Q�我们��用了(ji��n)关系数据库保存用��L(f��ng)��d��信息。由于��用了(ji��n)JAAS�Q�我们实��C��(ji��n)一个健壮而灵�zȝ��d��和��n份验证模块�?br />
　　Java验证和授权：(x��)概论

　　在JAAS出现以前�Q�Java的安全模型是��Z��(ji��n)满��跨��^台的�|�络应用�E�序的需要而设计的。在Java早期版本中，Java通常是作��E�代码被使用�Q�例如Applet�Q�。因此最初的安全模型把注意力攑֜�通过验证代码的来源来保护用户上。早期的Java安全机制中包含的概念�Q�如SercurityManager�Q�沙��概念，代码�{�֐��Q�策略文�Ӟ��多是��Z��(ji��n)保护用户�?br />
　　JAAS的出现反映了(ji��n)Java的演变。传�l�的服务器／客户端程序需要实现登录和存取控制�Q�JAAS通过对运行程序的用户的进行验证，从而达��C��护系�l�的目的。虽然JAAS同时��h��验证和授权的能力�Q�在�q�篇文章中，我们主要介绍验证功能�?br />
　　通过在应用程序和底层的验证和授权机制之间加入一个抽象层�Q�JAAS可以��化涉�?qi��ng)到Java Security包的�E�序开发。抽象层独立于��^台的�Ҏ(gu��)��开发�h员可以��用各�U�不同的安全机制�Q�而且不用修改应用�E�序�U�的代码。和其他Java Security API�怼��Q�JAAS通过一个可扩展的框�Ӟ��(x��)服务提供者接口（Service Provider Interface�Q�SPI�Q�来保证�E�序独立于安全机制。服务提供者接口是�׃��l�抽象类和接口组成的。图一中给��Z��(ji��n)JAAS�E�序的整体框架图。应用程序��的代码主要处理LoginContext。在LoginContext下面是一�l�动态配�|�的LoginModules。LoginModule使用正确的安全机制进行验证�?br />
　　图一�l�出�?ji��n)JAAS的概览。应用程序层的代码只需要和LoginContext打交道。在LoginContext之下是一�l�动态配�|�的LoginModule对象�Q�这些对象��用相关的安全基础�l�构�q�行验证操作�?br />

图一 JAAS概览

　　JAAS提供�?ji��n)一些LoginModule的参考实��C��码，比如JndiLoginModule。开发�h员�(sh��)��可以自己实现LoginModule接口�Q�就象在我们例子中的RdbmsLonginModule。同时我们还?sh��)��(x��)告诉你如何使用一个简单的配置文�g来安装应用程序�?br />
　　��Z��(ji��n)满��可插接性，JAAS是可堆叠的。在单一��d��的情况下�Q�一�l�安全模块可以堆叠在一��P��然后被其他的安全机制按照堆叠的顺序被调用�?br />
　　JAAS的实现者根据现在一些流行的安全�l�构模式和框架将JASS模型化。例如可堆叠的特性同Unix下的可堆叠验证模块（PAM�Q�Pluggable Authentication Module�Q�框架就非常�怼�。从事务的角度看�Q�JAAS�c�M��于双步提交（Two-Phase Commit�Q?PC�Q�协议的行�ؓ(f��)。JAAS中安全配�|�的概念�Q�包括策略文�Ӟ��Police File�Q�和许可�Q�Permission�Q�）(j��)来自于J2SE 1.2。JAAS�q��(sh��)��其他成熟的安全框架中借鉴�?ji��n)许多思想�?br />
　　客户端和服务器端的JAAS

　　开发�h员可以将JAAS应用到客��L(f��ng)��和服务器端。在客户端��用JAAS很简单。在服务器端使用JAAS时情况要复杂一些。目前在应用服务器市(j��ng)��Z��的JAAS产品�q��(sh��)��是很一��_(d��)��使用JAAS的J2EE应用服务器有一些细微的差别。例如JBossSx使用自己的结构，��JAAS集成��C��(ji��n)一个更大的安全框架中；而虽然WebLogic 6.x也��用了(ji��n)JAAS�Q�安全框架却完全不一栗��?br />
　　现在你能够理解�ؓ(f��)什么我们需要从客户端和服务器端的角度来看JAAS�?ji��n)。我们将在后面列��Z��U�情况下的例子。�ؓ(f��)�?ji��n)��服务器端的例子程序更加简单，我们使用�?ji��n)Resin应用服务器�?br />
　　核心(j��)JAAS�c?/font>

　　在��用JAAS之前�Q�你首先需要安装JAAS。在J2SE 1.4中已�l�包括了(ji��n)JAAS�Q�但是在J2SE 1.3中没有。如果你希望使用J2SE 1.3�Q�你可以从SUN的官方站点上下蝲JAAS。当正确安装�?ji��n)JAAS后，你会(x��)在安装目录的lib目录下找到jaas.jar。你需要将该�\径加入Classpath中。（注：(x��)如果你安装了(ji��n)应用服务器，其中��已�l�包括了(ji��n)JAAS�Q�请阅读应用服务器的帮助文档以获得更详细的信息）(j��)。在Java安全属性文件java.security中，你可以改变�(sh��)��些与JAAS相关的系�l�属性。该文�g保存在＜jre_home�Q?lib/security目录中�?br />
　　在应用程序中使用JAAS验证通常�?x��)涉及(qi��ng)到以下几个步骤�Q?br />
　　1. 创徏一个LoginContext的实例�?br />
　　2. ��Z��(ji��n)能够获得和处理验证信息，��一个CallBackHandler对象作�ؓ(f��)参数传送给LoginContext�?br />
　　3. 通过调用LoginContext的login�Q�）(j��)�Ҏ(gu��)��来进行验证�?br />
　　4. 通过使用login�Q�）(j��)�Ҏ(gu��)��q�回的Subject对象实现一些特�D�的功能�Q�假讄��录成功）(j��)�?br />
　　下面是一个简单的例子�Q?br />

LoginContext lc = new LoginContext("MyExample");
try {
lc.login();
} catch (LoginException) {
// Authentication failed.
}

// Authentication successful, we can now continue.
// We can use the returned Subject if we like.
Subject sub = lc.getSubject();
Subject.doAs(sub, new MyPrivilegedAction());

　　在运行这�D�代码时�Q�后台进行了(ji��n)以下的工作�?br />
　　1. 当初始化�Ӟ��LoginContext对象首先在JAAS配置文�g中找到MyExample��，然后更具该项的内容决定该加蝲哪个LoginModule对象�Q�参见图二）(j��)�?br />
　　2. 在登录时�Q�LoginContext对象调用每个LoginModule对象的login�Q�）(j��)�Ҏ(gu��)��?br />
　　3. 每个login�Q�）(j��)�Ҏ(gu��)��q�行验证操作或获得一个CallbackHandle对象�?br />
　　4. CallbackHandle对象通过使用一个或多个CallBack�Ҏ(gu��)��同用戯��行交互，获得用户输入�?br />
　　5. 向一个新的Subject对象中填入验证信息�?br />
　　我们��对代码作进一步的解释。但是在�q�之前，让我们先看代码中涉及(qi��ng)到的核心(j��)JAAS�c�d��接口。这些类可以被分��Z��U�类型：(x��)

　　普通类�?Subject�Q�Principal�Q�凭�?br />
　　验证 LoginContext�Q�LoginModule�Q�CallBackHandler�Q�Callback

　　授权 Policy�Q�AuthPermission�Q�PrivateCredentialPermission

　　上面列�D的类和接口大多数都在javax.security.auth包中。在J2SE 1.4中，�q�有一些接口的实现�c�d��com.sun.security.auth包中�?br />
　　普通类型：(x��)Subject�Q�Principal�Q�凭�?/b>

　　Subject�c�M��表了(ji��n)一个验证实体，它可以是用户、管理员、Web服务�Q�设备或者其他的�q�程。该�c�d��含了(ji��n)三中�c�d��的安全信息：(x��)

　　 �w�䆾�Q�Identities�Q�：(x��)�׃��个或多个Principal对象表示

　　公共凭证�Q�Public credentials�Q�：(x��)例如名称或公��q��?br />
　　 �U�有凭证�Q�Private credentials�Q�：(x��)例如口��o(h��)或私有密�?br />
　　Principal对象代表�?ji��n)Subject对象的��n份。它们实��C��(ji��n)java.security.Principal和java.io.Serializable接口。在Subject�c�M��Q�最重要的方法是getName�Q�）(j��)。该�Ҏ(gu��)��q�回一个��n份名�U�。在Subject对象中包含了(ji��n)多个Principal对象�Q�因此它可以拥有多个名称。由于登录名�U�、��n份证号和Email地址都可以作为用��L(f��ng)��w�䆾标识�Q�可见拥有多个��n份名�U�的情况在实际应用中是非常普遍的情况�?br />
　　在上面提到的凭证�q�不是一个特定的�c�L��借口�Q�它可以是�Q何对象。凭证中可以包含��M��特定安全�pȝ��需要的验证信息�Q�例如标�{�（ticket�Q�，密钥或口令。Subject对象中维护着一�l�特定的�U�有和公有的凭证�Q�这些凭证可以通过getPrivateCredentials�Q�）(j��)和getPublicCredentials�Q�）(j��)�Ҏ(gu��)��获得。这些方法通常在应用程序层中的安全子系�l�被调用�?br />
　　验证�Q�LoginContext

　　在应用程序层中，你可以��用LoginContext对象来验证Subject对象。LoginContext对象同时体现�?ji��n)JAAS的动态可插入性（Dynamic Pluggability�Q�，因�ؓ(f��)当你创徏一个LoginContext的实例时�Q�你需要指定一个配�|�。LoginContext通常从一个文本文件中加蝲配置信息�Q�这些配�|�信息告诉LoginContext对象在登录时使用哪一个LoginModule对象�?br />
　　下面列出�?ji��n)在LoginContext中经�怋�用的三个�Ҏ(gu��)��Q?

　　login () �q�行��d��操作。该�Ҏ(gu��)��Ȁ�z�M��(ji��n)配置中制定的所有LoginModule对象。如果成功，它将创徏一个经�q�了(ji��n)验证的Subject对象�Q�否则抛出LoginException异常�?br />
　　getSubject () �q�回�l�过验证的Subject对象

　　logout () 注销Subject对象�Q�删除与之相关的Principal对象和凭�?br />
　　验证�Q�LoginModule

　　LoginModule是调用特定验证机制的接口。J2EE 1.4中包含了(ji��n)下面几种LoginModule的实现类�Q?br />
　　JndiLoginModule 用于验证在JNDI中配�|�的目录服务

　　Krb5LoginModule 使用Kerberos协议�q�行验证

　　NTLoginModul 使用当前用户在NT中的用户信息�q�行验证

　　UnixLoginModule 使用当前用户在Unix中的用户信息�q�行验证

　　同上面这些模块绑定在一��L(f��ng)��q�有对应的Principal接口的实现类�Q�例如NTDomainPrincipal和UnixPrincipal。这些类在com.sun.security.auth包中�?br />
　　LoginModule接口中包含了(ji��n)五个�Ҏ(gu��)��Q?br />
　　initialize () 当创��Z��LoginModule实例时会(x��)被构造函数调�?br />
　　login () �q�行验证

　　commit () 当LgoninContext对象接受所有LoginModule对象传回的结果后��调用该�Ҏ(gu��)��。该�Ҏ(gu��)��Principal对象和凭证赋�l�Subject对象�?br />　　
　　abort () 当�Q何一个LoginModule对象验证��p�|旉��?x��)调用该��?gu��)��。此时没有�Q何Principal对象或凭证关联到Subject对象上�?br />
　　logout () 删除与Subject对象兌��的Principal对象和凭证�?br />
　　在应用程序的代码中，�E�序员通常不会(x��)直接调用上面列出的方法，而是通过LigonContext间接调用�q�些�Ҏ(gu��)��?br />
　　验证�Q�CallbackHandler和Callback

　　CallbackHandler和Callback对象可以使LoginModule对象从系�l�和用户那里攉��必要的验证信息，同时独立于实际的攉��信息时发生的交互�q�程�?br />　　
　　JAAS在javax.sevurity.auth.callback包中包含�?ji��n)七个Callback的实现类和两个CallbackHandler的实现类�Q�ChoiceCallback、ConfirmationCallback、LogcaleCallback、NameCallback、PasswordCallback、TextInputCallback、TextOutputCallback、DialogCallbackHandler和TextCallBackHandler。Callback接口只会(x��)在客��L(f��ng)��?x��)被使用到。我��在后面介绍如何�~�写你自��q��CallbackHandler�c�R�?br />
　　配置文�g

　　上面我已�l�提刎ͼ�JAAS的可扩展性来源于它能够进行动态配�|�，而配�|�信息通常是保存在文本。这些文本文件有很多个配�|�块构成�Q�我们通常把这些配�|�块�U�C��甌��Q�Application�Q�。每个申请对应了(ji��n)一个或多个特定的LoginModule对象�?br />
　　当你的代码构造一个LoginContext对象�Ӟ��你需要把配置文�g中申��L(f��ng)��名称传递给它。LoginContext��会(x��)�Ҏ(gu��)��甌��中的信息军_��Ȁ�z�d��些LoginModule对象�Q�按照什么顺序激�z�M��?qi��ng)��用什么规则激�z�R�?br />
　　配置文�g的结构如下所�C?

Application {
ModuleClass Flag ModuleOptions;
ModuleClass Flag ModuleOptions;
...
};
Application {
ModuleClass Flag ModuleOptions;
...
};
...

　　下面是一个名�U�Cؓ(f��)Sample的申�?br />

Sample {
com.sun.security.auth.module.NTLoginModule Rquired debug=true;
}

　　上面�q�个��单的甌��指定�?ji��n)LoginContext对象应该使用NTLoginModule�q�行验证。类的名�U�在ModuleClass中被指定。Flag控制当申请中包含�?ji��n)多个LoginModule时进行登录时的行为：(x��)Required、Sufficient、Requisite和Optional。最常用的是Required�Q��用它意味着对应的LoginModule对象必须被调用，�q�且必须需要通过所有的验证。由于Flag本��n的复杂性，本文在这里不作深�I��?br />
　　ModuleOption允许有多个参数。例如你可以讑֮�调试参数为True�Q�debug=true�Q�，�q�样诊断输出��被送到System.out中�?br />
　　配置文�g可以被�Q意命名，�q�且可以被放在�Q何位�|�。JAAS框架通过使用java.securty.auth.long.config属性来��定配置文�g的位�|�。例如当你的应用�E�序是JaasTest�Q�配�|�文件是当前目录下的jaas.config�Q�你需要在命��o(h��)行中输入�Q?br />
java -Djava.security.auth.login.config=jass.config JavaTest

　　图二描述�?ji��n)配�|�文件中各元素之间的关系

图二 JAAS的配�|�文�?

　　通过命��o(h��)行方式进行登录验�?/font>

　　��Z��(ji��n)说明JAAS到底能干什么，我在�q�里�~�写�?ji��n)两个例子。一个是��单的由命令行输入调用的程序，另一个是服务器端的JSP�E�序。这两个�E�序都通过用户名／密码的方式进行登录，然后使用关系数据库对其进行验证�?br />
　　��Z��(ji��n)通过数据库进行验证，我们需要：(x��)

　　1. 实现RdbmsLoginModul�c�，该类可以对输入的信息�q�行验证�?br />
　　2. �~�辑一个配�|�文�Ӟ��告诉LoginContext如何使用RdbmsLoginModule�?br />
　　3. 实现ConsoleCallbackHandler�c�，通过该类可以获取用户的输入�?br />
　　4. �~�写应用�E�序代码�?br />
　　在RdbmsLoginModul�c�M��Q�我们必��d��现LgoinModule接口中的五个�Ҏ(gu��)��。首先是initialize�Q�）(j��)�Ҏ(gu��)��Q?br />

public void initialize(Subject subject, CallbackHandler
callbackHandler,

Map sharedState, Map options)
{
this.subject = subject;
this.callbackHandler = callbackHandler;
this.sharedState = sharedState;
this.options = options;

url = (String)options.get("url");
driverClass = (String)options.get("driver");
debug = "true".equalsIgnoreCase((String)options.get("debug"));
}

　　LoginContext在调用login�Q�）(j��)�Ҏ(gu��)��时会(x��)调用initialize�Q�）(j��)�Ҏ(gu��)��。RdbmsLoginModule的第一个�Q务就是在�c�M��保存输入参数的引用。在验证成功后将向Subject对象中送入Principal对象和凭证�?br />
　　CallbackHandler对象��会(x��)在login�Q�）(j��)�Ҏ(gu��)��中被使用到。sharedState可以使数据在不同的LoginModule对象之间�׃�n�Q�但是在�q�个例子中我们不�?x��)��用它。最后是名�ؓ(f��)options的Map对象。options向LgoinModule对象传递在配置文�gModuleOption域中定义的参数的倹{��配�|�文件如下所�C�：(x��)

Example {
RdbmsLoginModule required
driver="org.gjt.mm.mysql.Driver"
url="jdbc:mysql://localhost/jaasdb?user=root"
debug="true";
};

　　在配�|�文件中�Q�RdbmsLoginModule包含�?ji��n)五个参敎ͼ�其中driver、url、user和password是必需的，而debug是可选阐�q�。driver、url、user和password参数告诉我们如何获得JDBC�q�接。当然你�q�可以在ModuleOption域中加入数据库中的表或列的信息。��用这些参数的目的是�ؓ(f��)�?ji��n)能够对数据库进行操作。在LoginModule�cȝ��initialize�Q�）(j��)�Ҏ(gu��)��中我们保存�(sh��)��(ji��n)每个参数的倹{�?br />
　　我们前面提到一个LoginContext对应的配�|�文件告诉它应该使用文�g中的哪一个申诗��这个信息是通过LgoinContext的构造函��C��递的。下面是初始化客��L(f��ng)��的代码，在代码中创徏�?ji��n)一个LoginContex对象�q�调用了(ji��n)login�Q�）(j��)�Ҏ(gu��)��?br />

ConsoleCallbackHandler cbh = new ConsoleCallbackHandler();
LoginContext lc = new LoginContext("Example", cbh);
lc.login();

　　当LgoinContext.login�Q�）(j��)�Ҏ(gu��)��被调用时�Q�它调用所有加载了(ji��n)的LoginModule对象的login�Q�）(j��)�Ҏ(gu��)��。在我们的这个例子中是RdbmsLoginModule中的login�Q�）(j��)�Ҏ(gu��)��?br />
　　RdbmsLoginModule中的login�Q�）(j��)�Ҏ(gu��)��q�行�?ji��n)下面的操作�Q?br />
　　1. 创徏两个Callback对象。这些对象从用户输入中获取用户名/密码。程序中使用�?ji��n)JAAS中的两个Callback�c?NameCallback和PasswordCallback�Q�这两个�c�d��含在javax.security.auth.callback包中�Q��?br />
　　2. 通过��callbacks作�ؓ(f��)参数传递给C(j��)allbackHandler的handle�Q�）(j��)�Ҏ(gu��)��来激�z�Callback�?br />
　　3. 通过Callback对象获得用户名／密码�?br />
　　4. 在rdbmsValidate�Q�）(j��)�Ҏ(gu��)��中通过JDBC在数据库中验证获取的用户名／密码�?br />
　　下面是RdbmsLoginModule中的login�Q�）(j��)�Ҏ(gu��)��的代�?br />

public boolean login() throws LoginException {
if (callbackHandler == null)
throw new LoginException("no handler");

NameCallback nameCb = new NameCallback("user: ");
PasswordCallback passCb = new PasswordCallback("password: ", true);
callbacks = new Callback[] { nameCb, passCb };
callbackHandler.handle(callbacks);

String username = nameCb.getName();
String password = new String(passCb.getPassword());
success = rdbmsValidate(username, password);

return(true);
}

　　在ConsoleCallbackHandler�cȝ��handle�Q�）(j��)�Ҏ(gu��)��中你可以看到Callback对象是如何同用户�q�行交互的：(x��)

public void handle(Callback[] callbacks)
throws java.io.IOException, UnsupportedCallbackException {

for (int i = 0; i �Q?callbacks.length; i++) {
if (callbacks[i] instanceof NameCallback) {
NameCallback nameCb = (NameCallback)callbacks[i];
System.out.print(nameCb.getPrompt());
String user=(new BufferedReader(new

InputStreamReader(System.in))).readLine();
nameCb.setName(user);
} else if (callbacks[i] instanceof PasswordCallback) {
PasswordCallback passCb = (PasswordCallback)callbacks[i];
System.out.print(passCb.getPrompt());
String pass=(new BufferedReader(new

InputStreamReader(System.in))).readLine();
passCb.setPassword(pass.toCharArray());
} else {
throw(new UnsupportedCallbackException(callbacks[i],
"Callback class not supported"));
}
}
}

　　使用JSP和关�p�L��据库�q�行��d��验证

　　现在我们希望��通过命��o(h��)行调用的�E�序一直到Web应用�E�序中。由于Web应用�E�序与一般的应用�E�序的交互方式有区别不同�Q�我们将不能使用JAAS提供的标准Callback和CallbackHandler�c�R��因为我们不能在Web�E�序中打开一个命令窗口让用户输入信息。也�怽��?x��)想到我们也可以使用��Z��HTTP的验证，�q�样我们可以从浏览器弹出的用户名�Q�密码窗口中获得用户输入。但是这样做也有一些问题，它要求徏立�v双向的HTTP�q�接�Q�在login�Q�）(j��)�Ҏ(gu��)��很难实现双向�q�接�Q�。因此在我们的例子中我们�?x��)��用利用表单进行登录，从表单中获取用户输入的信息，然后通过RdbmsLoginModule�c�验证它�?br />
　　�׃��我们没有在应用层同LoginModule直接打交道，而是通过LgoinContext来调用其中的�Ҏ(gu��)��的，我们如何��获得用户名和密码放入LoginModule对象中呢�Q�我们可以��用其它的�Ҏ(gu��)��来绕�q�这个问题，例如我们可以在创建LoginContext对象前先初始化一个Subject对象�Q�在Subject对象的凭证中保存用户名和密码。然后我们可以将该Subject对象传递给LoginContext的构造函数。这�U�方法虽然从技术上来说没有什么问题，但是它在应用�E�序层增加了(ji��n)很多与安全机制相关的代码。而且通常是在验证后向Subject送入凭证�Q�而不是之前�?br />前面我们提到可以实现一个CallbackHandler�c�，然后��它的实例传递给LoginContext对象。在�q�里我们可以采用�c�M��的方法来处理用户名和密码。我们实��C��(ji��n)一个新的类PassiveCallbackHandler。下面是在JSP中��用该�cȝ��代码�Q?br />

String user = request.getParameter("user");
String pass = request.getParameter("pass");
PassiveCallbackHandler cbh = new PassiveCallbackHandler(user, pass);
LoginContext lc = new LoginContext("Example", cbh);

　　PassiveCallbackHandler中构造函数的参数包含�?ji��n)用户名和密码。因此它可以在Callbick对象中设定正��的倹{��下面是PassiveCallbackHandler�cȝ��handle�Q�）(j��)�Ҏ(gu��)��的代码：(x��)

public void handle(Callback[] callbacks)
throws java.io.IOException, UnsupportedCallbackException {
for (int i = 0; i �Q?callbacks.length; i++) {
if (callbacks[i] instanceof NameCallback) {
NameCallback nameCb = (NameCallback)callbacks[i];

nameCb.setName(user);
} else if(callbacks[i] instanceof PasswordCallback) {
PasswordCallback passCb = (PasswordCallback)callbacks[i];
passCb.setPassword(pass.toCharArray());
} else {
throw(new UnsupportedCallbackException(callbacks[i],
"Callback class not supported"));
}
}
}
}

　　从上面的代码中可以发现实际上我们只是从ConsoleCallbackHandler中去除了(ji��n)那些提示用户输入的代码�?br />
　　在运行这个JSP例子的时候，我们需要设定系�l�属性，�q�样LgoinContext对象才知道如何查扑֐��U�Cؓ(f��)"Example"的配�|�。我们��用的是Resin服务器。在resin.conf中，我们增加�?ji��n)一个＜caucho.com�Q�节点：(x��)

�Q�system-property
java.security.auth.login.config="/resin/conf/jaas.config"/�Q?

　　��结

　　JAAS通过提供动态的、可扩展的模型来�q�行用户验证和控制权限，从而��应用�E�序有更加健壮的安全机制。同时它�q�能够让你能够很��L��地创��q��d��机制。JAAS可以同时在在客户端和服务器端应用�E�序上工作。虽然在服务器端的JAAS到目前还?sh��)��是很稳定，但是随着技术的发展�Q�相信会(x��)很好地解册��个问题�?br />

哼哼 2007-03-02 16:32 发表评论

验证代码合法性的新工��P��转）(j��)

哼哼 — Wed, 08 Nov 2006 10:05:00 GMT
(t��ng) (t��ng) (t��ng)随着��来��多的开源��Y件投入��用，许多企业开始采取防范措施，以免无意中��R犯他人的知识产权�?br />
(t��ng) (t��ng) (t��ng)以Linux操作�pȝ��和Apache Web服务器��Y件�ؓ(f��)代表的开源��Y件越来越受到�Ƣ迎�Q�其应用范围也从原来的一些小部门深入��C��(ji��n)整个企业IT环境中。虽然绝大多��C��业对开源��Y件的使用�?qi��ng)其相关的法律问题还�(sh��)��熟�?zh��n)�，但是�Q�当出现�늊�知识产权问题�Ӟ��无知�q�不能解决问题�?
(t��ng) (t��ng) (t��ng) 随着开源��Y件的��行�Q�出��C��(ji��n)很多新兴工具与服务来帮助企业识别开源��Y件中的代码知识��权。这些��Y件或者是从互联网上免费下载下来的�Q�或者是通过传统贸易方式从其他企业那儿买来的�?/p>
(t��ng) (t��ng) (t��ng) 黑鸭软�g公司�Q�Black Duck Software Inc.�Q�在2004�q?月推��Z��(ji��n)protexIP/development 开发��Y件和服务�Q�此后又推出�?ji��n)protexIP/license management许可��理软�g和服务。前者能帮助开发�h员识别开源��Y件的状况�Q�判断是否存在许可冲�H�问题；而后者主要针对律师和公司法律部门�Q�帮助他们识别开源��Y件的许可是否�?x��)涉及(qi��ng)到他们客户的代码，或者他们客户希望购买的代码�?/p>
(t��ng) (t��ng) (t��ng) 当管理层考虑收购一家公司或者一家公司的资��Ӟ��他们不希望存在未被发现的法律地雷�Q�泰斯塔公司�Q�Testa�Q�专利和知识产权业务部门的合伙�h大卫·拜尔�Q�David Byer�Q�说。泰斯塔公司是一家位于�L士顿�Q�Boston�Q�的法律公司�Q�隶属于赫维茨与蒂柏��?d��ng)律师事务所�Q�Hurwitz & Thibeault LLC�Q�。“我们就曄��睹过整个交易谈判因�ؓ(f��)收购者不��x��担风险而被�q�中止的情况。”拜��?d��ng)说。除�?ji��n)风险外�Q�另一个原因是如果�q�些被收购的财��存在法律归属的问题，被收购方的胦(ch��)产就�?x��)贬倹{�?/p>
(t��ng) (t��ng) (t��ng) 那些可以从网上直接免费下载而无需通过公司采购渠道采购的开源��Y件日益流行，增加�?ji��n)公司��Y件收购与使用的法律风险。�ؓ(f��)�?ji��n)确保其律师团队能帮助客户减轻这�c�风险，泰斯塔公司正在测试protexIP/license management和protexIP/development软�g�?/p>
(t��ng) (t��ng) (t��ng) 黑鸭软�g公司有一个包含超�q?00个开源��Y件许可的数据库。泰斯塔公司的律师��用protexIP/license management软�g�Q�就可以把其客户所希望购买的��Y件的代码与黑鸭��Y件公司的数据库做比较�Q�看看这些代码是否在许可的范围之内。依拉¯��凡（Ira Heffan�Q�介�l�，律师们也可以用黑鸭��Y件公司的软�g来运行源代码�Q�确定源代码与包含在开源应用程序中代码之间的相似性。赫凡是泰斯塔公�怸�利和知识产权业务部门的高�U�合伙�h�Q�同时也是公司开源��Y件特别小�l�的成员。该特别��组由来自公司多个业务部门的15位律师的律师�l�成。他们所研究的开源问题，涉及(qi��ng)到��Y件开发、知识��权��R犯、风险资本融资中的知识��权尽责调查、�ƈ购交易和股票首次公开发行�?/p>
(t��ng) (t��ng) (t��ng) 更危险的情况是，一家公司在开发环境中引入受到通用公共许可证（General Public License�Q�保护的软�g�Q�但自己�q�不知道�Q�这��其��Y件代码免费向开源社区开放，其中一些代码很可能是公司独家开发的�Q�赫凡说�?/p>
(t��ng) (t��ng) (t��ng) 购买protexIP/license management软�g许可的�h(hu��n)格是每两个用�?,500��元。protexIP/license management软�g�?qi��ng)服务必��M��黑鸭软�g公司的protexIP/development软�g一起��用，后者的��h��是每五个用户1.25万美元。ProtexIP/license management软�g使用的数据库�Q�与黑鸭软�g公司在其protexIP/development软�g服务中��用的一致�?/p>

哼哼 2006-11-08 18:05 发表评论