[java] 인간을위한 JAAS
JAAS를 이해하는 데 어려움을 겪고 있습니다. 모든 것이 예상보다 복잡해 보입니다 (특히 Sun 자습서). 사용자 정의 사용자 저장소를 사용하여 Struts + Spring + Hibernate를 기반으로하는 Java 애플리케이션에서 보안 (인증 + 권한 부여)을 구현하는 방법에 대한 간단한 자습서 또는 예제가 필요합니다. ACEGI를 사용하여 구현할 수 있습니다.
답변
JAAS 이해를 돕기 위해 사용한 링크는 다음과 같습니다.
http://www.owasp.org/index.php/JAAS_Tomcat_Login_Module
http://www.javaworld.com/jw-09-2002/jw-0913-jaas.html
http://jaasbook.wordpress.com/
또한 Apache tomcat 영역 구성 방법을 살펴보십시오.
답변
다른 사용자는 위의 매우 유용한 링크를 제공하므로 링크를 신경 쓰지 않을 것입니다. 저는 웹 애플리케이션 용 JAAS에서 유사한 연구를 수행했으며 마침내 JAAS가 Java World의 웹 애플리케이션과 다른 “계층”에서 보안을 다루는 프레임 워크라는 것을 깨닫기 전까지 “마음의 장애물”에 부딪 혔습니다. Java EE가 아닌 Java SE의 보안 문제를 해결하기 위해 빌드되었습니다.
JAAS는 웹 애플리케이션보다 훨씬 낮은 수준의 보안을 위해 구축 된 보안 프레임 워크입니다. 이러한 것의 몇 가지 예는 JVM 수준에서 사용할 수있는 코드 및 리소스이므로 JVM 수준에서 정책 파일을 설정하는 모든 기능이 있습니다.
그러나 Java EE는 Java SE를 기반으로 구축 되었기 때문에 LoginModules 및 Callbacks와 같은 Java EE 보안에서 JAAS의 몇 가지 모듈이 재사용되었습니다.
Java EE 보안 외에도 기본 Java EE 보안과 유사하게 웹 애플리케이션 보안 문제에서 훨씬 더 높은 “계층”을 다루는 Spring 보안 (이전의 Acegi)도 있습니다. 별도의 보안 구현이며 표준 Java EE 보안을 기반으로 구축되지 않았지만 여러면에서 유사하게 작동합니다.
요약하면 Java SE 수준 (클래스, 시스템 리소스)에서 리소스를 보호하려는 경우가 아니면 공통 클래스 및 인터페이스를 사용하는 것 외에는 JAAS를 실제로 사용하지 않습니다. Spring Security 또는 일반적인 웹 애플리케이션 보안 문제를 해결하는 일반 Java EE 보안을 사용하는 데 집중하십시오.
답변
javax.security는 imho 지나치게 복잡한 API입니다. 결과적으로 LoginModules뿐만 아니라 인증 및 권한 부여 관리자와 같이 위에 추상화 계층을 생성하는 전체 인증 및 권한 부여 API의 구현자가 있습니다.
우선, 인쇄하는 것이 좋다 이 메모리에.
둘째, JAAS를위한 가장 간단한 setup & go 라이브러리 인 imho는 Jboss PicketBox 입니다. JBossAuthenticationManager 및 JBossAuthorizationManager를 통해 인증 및 권한 부여를 수행하는 방법을 설명합니다. XML 또는 주석을 통해 쉽게 구성 할 수 있습니다. 웹앱과 독립형 애플리케이션을 모두 관리하는 데 사용할 수 있습니다.
리소스에 대한 ACL 측면에서 저장소 액세스를 관리하기위한 권한 부여 부분이 필요한 경우 이것이 확실합니다.
보안 문제는 일반적으로 필요에 맞게 사용자 정의해야하기 때문에 결국 다음을 구현할 수 있다는 것입니다.
LoginModule -userName + 비밀번호 확인
CallbackHandler 는 다음과 같이 사용됩니다.new LoginContext("Sample", new MyCallbackHandler());
CallbackHandler는 기본 LoginModules에 전달되어 사용자와 통신하고 상호 작용할 수 있습니다. 예를 들어 그래픽 사용자 인터페이스를 통해 사용자 이름과 암호를 묻는 메시지가 표시됩니다. 따라서 Handler 내부에서 사용자로부터 사용자 이름과 비밀번호를 가져와 LoginModule에 전달합니다.
LoginContext- 그런 다음 lc.login (); 자격 증명을 인증합니다. LoginContext는 인증 된 주제로 채워집니다.
그러나 Jboss picketbox는 특별한 것이 필요하지 않는 한 정말 쉬운 방법을 제공합니다.
답변
lsiu의 대답은 여기에서 실제로 “얻을”수있는 몇 안되는 대답입니다.)
그 대답에 덧붙여서,이 주제에 대한 정말 좋은 참조는 JAAS에 무슨 일이 일어 났습니까? .
JASPIC이 어떻게 Servlet과 EJB 보안 모델과 잠재적으로 JAAS 로그인 모듈 사이의 Java EE의 링크이지만, 많은 경우 JAAS의 역할이 Java EE의 비교적 단순한 사용자 이름 및 역할 제공자의 역할로 축소되는 방법을 설명합니다.
같은 저자의 JAAS in the Enterprise 는 이전 기사이지만 Java SE (JAAS) 및 Java EE 모델이 왜 그랬는지에 대한 많은 역사적 배경을 제공합니다.
전반적으로하지만 JAAS에서 몇 종류의 직접 자바 EE에 사용되는, 기본적으로 Principal
, Subject
하고 CallbackHandler
. 후자의 두 가지는 주로 JASPIC에서 사용됩니다. JASPIC을 사용하여 Java EE에서 컨테이너 인증 구현 기사에서 JASPIC에 대해 설명 했습니다 .
답변
JAAS 자체에 대해 너무 많이 말할 수는 없지만 Spring Security에 대한 이 “제안 된 단계”가이드 와 참조 설명서 는 모두 Spring Security에 대한 꽤 좋은 리소스입니다. 설정이 간단 할 경우 실제로 그럴 필요가 없습니다. 이것을 읽는 것보다 훨씬 더 많은 일을하십시오.