JBoss下的单点登陆(SSO)技术实现分析五
[b]4. Josso与Web应用[/b][url=http://www.pcdog.com/special/2004/index.html][size=3][color=#0066cc][b]安全[/b][/color][/size][/url][b]策略的管理[/b]
Josso在Web应用安全策略的管理主要通过JBoss容器的进行用户权限的分配和取消。它的整个应用模型主要是基于JAAS的安 全策略模型进行拓展,并对Web页面层和EJB应用组件分别进行安全控制,下面我们通过Josso自带的一个例子来说明。
Web页面层的安全控制是在web.xml中通过<login-config>、<security-constraint>和<security-role>标签定义来实现的。
以下是Josso中partnerapp例子对Web页面层的安全控制实现:
<security-constraint><!-- Sample Security Constraint --><web-resource-collection><!-- We're going to protect this resource and make it available only to users in "role1". --> <web-resource-name>public-resources</web-resource-name><url-pattern>/resources/**//*</url-pattern><http-method>HEAD</http-method><http-method>GET</http-method><http-method>POST</http-method><http-method>PUT</http-method><http-method>DELETE</http-method></web-resource-collection></security-constraint><security-constraint><web-resource-collection><web-resource-name>protected-resources</web-resource-name><url-pattern>/josso/*</url-pattern><url-pattern>/protected/*</url-pattern><http-method>HEAD</http-method><http-method>GET</http-method><http-method>POST</http-method><http-method>PUT</http-method><http-method>DELETE</http-method></web-resource-collection><auth-constraint><role-name>role1</role-name></auth-constraint><user-data-constraint><transport-guarantee>NONE</transport-guarantee></user-data-constraint></security-constraint><login-config><auth-method>FORM</auth-method><form-login-config><form-login-page>/login-redirect.jsp</form-login-page><form-error-page>/login-redirect.jsp</form-error-page></form-login-config></login-config><security-role ><description>Role 1</description><role-name>role1</role-name></security-role>
对于EJB应用组件只需在ejb-jar.xml的部署描述符中添加<security-role>中定义相应的安全策略,对于JBoss来说同时还需要在jboss.xml中添加<security-domain>,以保证当前域的安全策略生效。在partnerapp中的实现如下:
<?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE ejb-jar PUBLIC '-//Sun Microsystems, Inc.//DTD Enterprise JavaBeans 2.0//EN' 'http://java.sun.com/dtd/ejb-jar_2_0.dtd'><ejb-jar><display-name>Partner Component</display-name><enterprise-beans><session><ejb-name>PartnerComponentEJB</ejb-name><home>org.josso.samples.ejb.PartnerComponentHome</home><remote>org.josso.samples.ejb.PartnerComponent</remote><ejb-class>org.josso.samples.ejb.PartnerComponentEJB</ejb-class><session-type>Stateless</session-type><transaction-type>Container</transaction-type></session></enterprise-beans><assembly-descriptor><security-role><description>Role 1</description><role-name>role1</role-name></security-role><method-permission><description>Security attributes for 'PartnerComponenttEJB' methods</description><role-name>role1</role-name><method><ejb-name>PartnerComponentEJB</ejb-name><method-name>*</method-name></method></method-permission><container-transaction><method><ejb-name>PartnerComponentEJB</ejb-name><method-name>*</method-name></method><trans-attribute>Required</trans-attribute></container-transaction></assembly-descriptor></ejb-jar><?xml version="1.0" encoding="UTF-8"?><!DOCTYPE jboss PUBLIC"-//JBoss//DTD JBOSS 3.0//EN""http://www.jboss.org/j2ee/dtd/jboss_3_0.dtd"><jboss><security-domain>java:/jaas/josso</security-domain><enterprise-beans><session><ejb-name>PartnerComponentEJB</ejb-name><jndi-name>josso/samples/PartnerComponentEJB</jndi-name></session></enterprise-beans></jboss>
以上是Josso对Web应用层和EJB组件所关联的安全策略的部署描述,另外在Josso验证的验证过程中,登陆页面、注销页面和通过验证后用户的信息都是通过JBoss服务器支持的单点登陆模式来实现的。JBoss服务器支持的登录验证机制主要有:基于HTTP的基本验证(采用简单的Base64编码),基于HTTPS的客户端验证(采用[url=http://www.pcdog.com/net/3451/index.html][size=3][color=#0066cc]证书[/color][/size][/url]验证),基于表单验证(通过表单提交的信息,自己定制验证方式)等;而通过验证后的用户信息可以通过Servlet的request对象的getUserPrincipal()方法来获得。在这里我们就不多做介绍。相关的信息可以查阅JBoss及Servlet的文档。
[b]
[b] 5. 小结[/b][/b]
单点登陆(SSO)是一个很大的议题,在本文中笔者只是简单地通过对单点登陆(SSO)的实现原理和Josso在JBoss环境下的实施的介绍,让读者在一个侧面对单点登陆(SSO)有一定认识。
