源码提供 —— 使用Apache Commons HttpClient灵活实现JAAS签权
JavaEE提供了JAAS安全机制,在架构一个web系统时,可以根据这个标准来保护系统的安全。先对JAAS标准作个简单介绍,JAAS为Java企业应用提供了安全规范和接口,规范主要由JavaEE服务器实现,接口则面向服务实现以及应用开发。一个安全的web系统,必须对其访问用户进行访问范围的控制,在JAAS中,这种控制体现在用户的角色上。举个例子,假设一个web系统(假设为http://www.asys.com)有两个受保护的url资源分别为Area-1(http://www.asys.com/areaone)和Area-2(http://www.asys.com/areatwo),系统中有两种角色Role1和Role2,根据约定,只有属于Role1的用户才能访问Area-1,另外只有拥有Role2角色的用户才能访问Area-2,如何实现呢?很简单,根据JAAS标准,可以通过在一个JavaEE服务器中进行相应的配置来实现声明式的JAAS安全。以tomcat5.0为例,首先,在conf/tomcat-users.xml这个文件,你可以定义用户信息和角色对应关系:
xml 代码
[*]xml version='1.0' encoding='utf-8'?>
[*]<tomcat-users>
[*] <role rolename="Role1"/>
[*] <role rolename="Role2"/>
[*] <user username="user1" password="123" roles="Role1"/>
[*] <user username="user2" password="456" roles="Role2"/>
[*]<!---->tomcat-users>
以上设置相当于定义了安全机制依赖的用户角色元数据,那么接下来就是将角色与受保护的资源进行关联声明设置,这一步需要在你具体的web应用程序的部署文件web.xml(也可以是其他部署文件比如ejb描述文件)中进行:
xml 代码
[*]xml version="1.0" encoding="UTF-8"?>
[*]<web-app version="2.4"
[*] xmlns="http://java.sun.com/xml/ns/j2ee"
[*] xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
[*] xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee
[*] http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">
[*]
[*] <login-config>
[*] <auth-method>FORM<!---->auth-method>
[*] <form-login-config>
[*] <form-login-page>/login.jsp<!---->form-login-page>
[*] <form-error-page>/error.jsp<!---->form-error-page>
[*] <!---->form-login-config>
[*] <!---->login-config>
[*]
[*] <security-constraint>
[*] <web-resource-collection>
[*] <web-resource-name>Area-1<!---->web-resource-name>
[*] <url-pattern>/areaone<!---->url-pattern>
[*] <!---->web-resource-collection>
[*] <auth-constraint>
[*] <role-name>Role1<!---->role-name>
[*] <!---->auth-constraint>
[*] <!---->security-constraint>
[*]
[*] <security-constraint>
[*] <web-resource-collection>
[*] <web-resource-name>Area-2<!---->web-resource-name>
[*] <url-pattern>/areatwo<!---->url-pattern>
[*] <!---->web-resource-collection>
[*] <auth-constraint>
[*] <role-name>Role2<!---->role-name>
[*] <!---->auth-constraint>
[*] <!---->security-constraint>
[*]
[*] <security-role>
[*] <role-name>Role1<!---->role-name>
[*] <!---->security-role>
[*]
[*] <security-role>
[*] <role-name>Role2<!---->role-name>
[*] <!---->security-role>
[*]
[*]<!---->web-app>
由于xml有很好的自我描述性,上面的信息意义比较明确,如果看过前面的假设案例,再具体琢磨一下应该明白,在这里就不过多解释。不过需要交待的是这个<login-config><login-config>标签,这个用途就是指定登陆签权的方式,根据JAAS标准,有BASIC/FORM/DIGEST等几种登陆方式,BASIC估计很多人在访问一些网站时碰到过,浏览器中打开一个登陆窗口,需要输入用户名密码才能访问某个资源,这种方式非常简单,是真正意义上的“声明式安全”,根本不需要编写任何代码,但是安全性和灵活性较差,这里姑且先不讨论BASIC和DIGEST模式,只讨论用得非常多的FORM模式,这种模式就是用html表单来提交用户名和密码,优点是灵活,比如你可以把登陆界面搞得更为花哨,但是有一点也比较讨厌的是,根据JAAS标准,这个登陆表单的提交Action必须是"action=/j_security_check",另外用户名密码参数名必须是j_username和j_password,为什么说它讨厌,就是你想搞得自我一些是没辙了,比如你要先通过自己的action,做一些业务逻辑或者往数据库写些什么,对不起没门,你只能提交到/j_security_check这个 url,而且,服务器验证通过后,它会自动转向你想访问的受保护资源,当然你可以通过filter来实现后置的登陆处理,但是这种方式也有问题,比如,你想加个验证码机制,用户除了输入用户名密码外,还要输对验证码才能登陆,那就无法用后置处理加以实现了。到这里你可能会咒骂,“这个JAAS是什么个标准?!居然如此不灵活!“,解决这个问题可以通过服务器端的response.sendRedirect来实现自定义登陆操作验证再执行 j_security_check,但这有个毛病是用户名密码再来回一次浏览器和服务器,安全性和效率都不好,在本文中,老黄博客用一种不同的方式,就是在服务器端通过httpclient代替用户端的浏览器来执行j_security_check操作,这样就解决了这个矛盾,你想前置或者后置进行 j_security_check检查都可以,并且完全提供开源源代码,:)
具体思路是这样的,在服务器端获取到用户名、密码、sessionid、并生成j_security_check的完整url路径,调用 JSecurityCheckHelper这个对象的doCheck方法就可以完成签权,同时JSecurityCheckHelper还支持SSL和服务代理(这可是花了老黄近一个月的心血啊)。JSecurityCheckHelper的代码骨架如下:
java 代码
[*]package laohuang.helper.jaas;
[*]
[*]/**
[*] * <code>JSecurityCheckHelper</code>利用HttpClient实现JAAS签权。
[*] *
[*] * @author newman.huang
[*] * @version 1.0 2007/2/26
[*] */
[*]public class JSecurityCheckHelper {
[*]
[*] private HttpClient httpClient;
[*]
[*] static{
[*] loadProxyConfig();
[*] registerHttps();
[*] }
[*]
[*] //加载代理属性
[*] private static void loadProxyConfig(){
[*] ...
[*] }
[*]
[*] //注册https协议以支持HttpClient通过SSL通讯
[*] @SuppressWarnings("deprecation")
[*] private static void registerHttps(){
[*] ...
[*] }
[*]
[*] /**
[*] * 构建。
[*] *
[*] */
[*] public JSecurityCheckHelper(){
[*] ...
[*] }
[*]
[*] /**
[*] * 执行j_security_check。
[*] */
[*] public String doCheck(String userName, String password,
[*] String jSessionId, String jSecCheckFullURL) throws SecurityCheckException {
[*]
[*] ...
[*] }
[*]
[*] //设置代理以通过代理执行j_security_check校验
[*] private void setProxy(){
[*] ...
[*] }
[*]
[*] //生成HttpClient Cookie
[*] private Cookie genRequestCookie(String jSessionId,String fullURL){
[*] ...
[*] }
[*]
[*] //通过url获取cookie的域名
[*] private static String parseCookieDomainName(String url){
[*] ...
[*] }
[*]
[*] //辅助方法,执行一个get请求,仅供测试使用
[*] private void doGetRequest(String url){
[*] ...
[*] }
[*]
[*] //辅助方法,获取当前JSESSIONID,仅供测试使用
[*] private String getJSessionId(){
[*] ...
[*] }
[*]
[*] ...
[*]}
本实现可以解决j_security_check Form验证的不灵活弊端,也可以将代码集成到有需要的客户端测试当中,另外,可以充当学习HttpClient的范例代码。正如硬币都有正反两面,这个解决方案没有遵循server/Client分离的实现原则,如果放置在服务器端,在不同的应用环境下,需要处理的细节过多,比如需要关注传输协议细节(SSL),是否使用代理等等,尽管如此,</login-config></login-config>JSecurityCheckHelper还是都为你提供了这些实现。
<login-config><login-config>
</login-config></login-config>
页:
[1]