JBOSS中使用Java验证和授权服务jaas_Tomcat, WebLogic及J2EE讨论区_Weblogic技术|Tuxedo技术|中间件技术|Oracle论坛|JAVA论坛|Linux/Unix技术|hadoop论坛

总帖数

每页帖数

1/1页

返回列表

发起投票

查看: 2161 | 回复: 0

主题： JBOSS中使用Java验证和授权服务jaas

landy

注册用户

等级：新兵
经验：61
发帖：72
精华：0
注册：2011-12-31
状态：离线
发送短消息息给landy

加好友发送短消息息给landy

发消息

发表于：

2015-7-9 17:14:53 | [全部帖] [楼主帖]

楼主

使用默认安全域

1,通过使用@SecurityDomain 注释为它指定一个安全域:
例 :@SecurityDomain("other")
2.通过Jboss 发布文件(jboss.xml)进行定义:
例 :jboss.xml

<?xml version="1.0" encoding="UTF-8"?>
<jboss>

<security-domain>other</security-domain>

<unauthenticated-principal>AnonymousUser</unauthenticated-principal>
</jboss>

jboss.xml 必须打进Jar 文件的META-INF 目录
以下假设使用第二中方法 (优点:便与移植)
1.先定义users.propertes和roles.properties文件 (必须),放置与ClassPath下;
users.propertes定义了用户名和密码,格式如下:

user=pass

roles.properties定义了角色

user=Adminstrator,Guest (多个角色用逗号分开)
guest=Guest

2.设置EJB的安全域

@SecurityDomain("other")
public class SecurityBean implements Security{}

3.业务方法定义访问角色

@RolesAllowed ({"Adminstrator,Guest"}) 
public void someMethod(){}
@PermitAll
public void allowedInvoke(){}

打包后的EJB.jar文件格式如下:

EJB.jar
-com/**/*.class
+-ejbs
+-Security.class
+-SecurityBean.class
+-META-INF
+-jboss.xml
-users.properties
-roles.properties

4.配置角色验证模块及对某些URL 进行权限设置,编辑Web应用的web.xml文件

<security-constraint>
<web-resource-collection>
<web-resource-name>Protected Pages</web-resource-name>
<url-pattern>/user/*</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>DepartmentUser</role-name>
</auth-constraint>
<user-data-constraint>
<transport-guarantee>NONE</transport-guarantee>
</user-data-constraint>
</security-constraint>

<security-constraint>
<web-resource-collection>
<web-resource-name>Protected Pages</web-resource-name>
<url-pattern>/admin/*</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>AdminUser</role-name>
</auth-constraint>
<user-data-constraint>
<transport-guarantee>NONE</transport-guarantee>
</user-data-constraint>
</security-constraint>

<security-role>
<description>Authorized to access everything.</description>
<role-name>AdminUser</role-name>
</security-role>
<security-role>
<description>Authorized to limited access.</description>
<role-name>DepartmentUser</role-name>
</security-role>

<login-config>
<auth-method>FORM</auth-method>
<form-login-config>
<form-login-page>/login.html</form-login-page>
<form-error-page>/loginFailed.html</form-error-page>
</form-login-config>
</login-config>

5.为了使用容器的安全服务，需要在jboss-web.xml 定义使用的安全域(例子使用other 域)，该文件放置在WEB-INF 目录下

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE jboss-web PUBLIC
"-//JBoss//DTD Web Application 2.3V2//EN"
"http://www.jboss.org/j2ee/dtd/jboss-web_3_2.dtd">
<jboss-web>
<security-domain>java:/jaas/other</security-domain>
</jboss-web>

自定义安全域
把用户名/密码及角色存放在users.propertes 和roles.properties 文件，不便于日后的管理。大多数情况下都会把用户名/密码及角色存放在数据库中
1.定义安全域

<application-policy name="authenForDatabase">
<authentication>
<login-module code="org.jboss.security.auth.spi.DatabaseServerLoginModule" flag="required">

<module-option name="dsJndiName">java:/DefaultMySqlDS</module-option>

<module-option name="principalsQuery">select password from sys_user where name=?</module-option>

<module-option name="rolesQuery">
select rolename,'Roles' from sys_userrole where username=?
</module-option>

<module-option name = "unauthenticatedIdentity">AnonymousUser</module-option>
</login-module>
</authentication>
</application-policy>

2.修改jboss.xml文件

<?xml version="1.0" encoding="UTF-8"?>
<jboss>
<security-domain>authenForDatabase</security-domain>
<unauthenticated-principal>AnonymousUser</unauthenticated-principal>
</jboss>

3.修改jboss-web.xml文件

完工!

--转自