JAAS على البشر
https://stackoverflow.com/questions/628416
-
06-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
أواجه صعوبة في فهم JAAS.كل شيء يبدو أكثر تعقيدا مما ينبغي (وخاصة الشمس الدروس).أحتاج البرنامج التعليمي بسيطة أو مثال على كيفية تنفيذ الأمن (المصادقة + إذن) في تطبيق جافا القائمة على الدعامات + الربيع + السبات مع مستخدم مخصصة مستودع.يمكن تنفيذها باستخدام ACEGI.
المحلول
وفيما يلي بعض الروابط I تستخدم للمساعدة في فهم JAAS:
http://www.owasp.org/index.php/JAAS_Tomcat_Login_Module
http://www.javaworld.com/jw -09-2002 / JW-0913-jaas.html
http://jaasbook.wordpress.com/
<وأ href = "http://roneiv.wordpress.com/2008/02/18/jaas-authentication-mechanism-is-it-possible-to-force-j_security_check-to-go-to-a- محددة الصفحات / "يختلط =" noreferrer نوفولو "> http://roneiv.wordpress.com/2008/02/18/jaas-authentication-mechanism-is-it-possible-to-force-j_security_check-to-go- لومحددة الصفحات /
وأيضا لديها نظرة على تكوين العوالم هر اباتشي كيفية:
نصائح أخرى
المستخدمين الآخرين توفير بعض الروابط المفيدة أعلاه حتى وأنا لن يكلف نفسه عناء مع الروابط.لقد فعلت بحوث مماثلة في JAAS على تطبيق ويب وقد واجهت "العقل حاجز" حتى أدرك أخيرا JAAS هو إطار التصدي الأمن في "طبقة" ثم ويب التطبيقات في جافا العالم.هو بناء لمعالجة القضايا الأمنية في جافا SE ليس جافا EE.
JAAS هو الإطار الأمني بنيت لتأمين الأشياء في مستوى أقل بكثير ثم شبكة الإنترنت تطبيق.بعض الأمثلة على هذه الأمور هي رمز والموارد المتاحة في JVM المستوى ، وبالتالي كل هذه القدرة على تحديد ملفات السياسة في JVM المستوى.
ومع ذلك ، منذ Java EE بنيت على أعلى من Java SE بضع وحدات من JAAS تم استخدامها في جافا EE الأمن مثل LoginModules و رد.
ملاحظة أنه بالإضافة إلى Java EE الأمن ، هناك أيضا الربيع الأمن (المعروف سابقا باسم Acegi) ، والتي تشبه مواليد Java EE الأمن يعالج أعلى بكثير "الطبقة" في تأمين شبكة الإنترنت تطبيق المشكلة.وهو منفصل الأمن التنفيذ وليس بنيت على أعلى من معيار Java EE الأمن ، على الرغم من أنه يتصرف على نحو مماثل في كثير من التحيات.
لتلخيص, إلا إذا كنت تبحث لتأمين الموارد في جافا SE مستوى (فئات موارد النظام), أنا لا أرى أي فائدة حقيقية من JAAS الأخرى من استخدام المشترك الدرجة واجهات.فقط التركيز على استخدام الربيع الأمن أو القديم عادي Java EE الأمن والتي على حد سواء في حل الكثير من الشائع تطبيق ويب الأمن المشاكل.
javax.الأمن هو imho المعقد كثيرا API.ونتيجة لذلك هناك منفذي ليس فقط LoginModules ، ولكن كامل المصادقة والتخويل api ، أن يخلق طبقة تجريد أعلاه ، مثل المصادقة & تفويض المديرين.
بالنسبة للمبتدئين, فمن الجيد أن طباعة هذا في الذاكرة الخاصة بك.
ثانيا, imho الأكثر بسيطة الإعداد & go مكتبة JAAS هو جبوس PicketBox.يقول كيف المصادقة والتخويل عبر JBossAuthenticationManager و JBossAuthorizationManager ...شكلي بسهولة عبر XML أو التعليقات التوضيحية.يمكنك استخدامه لإدارة كل webapps و التطبيقات المستقلة.
إذا كنت في حاجة إلى تفويض جزء لإدارة الوصول مستودع حيث ACL على الموارد ، هذا هو ما كنت تبحث عنه بالتأكيد.
المشكلة مع الأمن ، التي عادة ما تحتاج إلى تخصيص الاحتياجات الخاصة بك ، إذا كنت قد ينتهي تنفيذ :
LoginModule - التحقق من اسم المستخدم + كلمة المرور
CallbackHandler ويستخدم مثل هذا new LoginContext("Sample", new MyCallbackHandler());
CallbackHandler يتم تمرير الأساسية LoginModules حتى يتمكنوا من التواصل والتفاعل مع المستخدمين - المطالبة للحصول على اسم المستخدم وكلمة المرور عبر واجهة المستخدم الرسومية ، على سبيل المثال.حتى داخل معالج يمكنك الحصول على اسم المستخدم و كلمة المرور من المستخدم ويتم تمريرها إلى LoginModule.
LoginContext - ثم تتصل lc.تسجيل الدخول();و مصادقة بيانات الاعتماد.LoginContext يتم ملؤها مع مصادقة الموضوع.
ومع ذلك جبوس picketbox يمنحك طريقة سهلة حقا أن أذهب إلا إذا كنت بحاجة إلى شيء معين.
lsiu إجابة واحدة من الإجابات هنا حقا "الحصول عليها" ;)
إضافة إلى هذا الجواب ، حقا إشارة جيدة على هذا الموضوع مهما حدث JAAS?.
وهذا ما يفسر كيف JASPIC هو الرابط في جافا EE بين بريمج و EJB الأمن نماذج محتملة JAAS الوحدة النمطية تسجيل الدخول ، ولكن في كثير من الحالات JAAS دور خفضت إلى أن من بسيطة نسبيا اسم المستخدم وكلمة الأدوار مزود في جافا EE.
من نفس المؤلف JAAS في المؤسسة, الذي هو أقدم المادة ولكن يوفر الكثير من الخلفية التاريخية عن سبب Java SE (JAAS) و Java EE نماذج اختلفت الطريقة التي فعلت.
عموما ولكن بعض أنواع من JAAS يتم استخدامها مباشرة في Java EE, أساسا Principal , Subject, ، CallbackHandler.والأخيران تستخدم أساسا من قبل JASPIC.لقد شرحت JASPIC في المادة تنفيذ حاوية المصادقة في جافا EE مع JASPIC.
لا أستطيع التحدث كثيرا JAAS نفسها ، ولكن هذا "خطوات مقترحة" دليل على الربيع الأمن ، الدليل المرجعي كلاهما جيد جدا على الموارد الربيع الأمن - إذا كان الإعداد الخاص بك هو أي شيء قريب بسيطة لا تحتاج حقا أن تفعل أكثر بكثير من قراءة هذه.
محض JAAS تحقق من البرنامج التعليمي هذا.انها قديمة ولكن ينبغي أن تساعد مع JAAS الأساسيات.
