文档章节

Tomcat JAAS 身份验证和授权

boonya
 boonya
发布于 2015/01/04 20:45
字数 1561
阅读 95
收藏 1

Java 认证和授权服务(JAAS)是一种用于验证用户身份以确定安全等级的 Tomcat Realm ( org.apache.catalina.Realm) 的实现。

需求

Tomcat 7.0, MVC (推荐 Spring MVC)和数据库(推荐 Mysql)

1. 配置

appName

appName 属性的值将被传递给 LoginContext (javax.security.auth.login.LoginContext) 构造函数,以指定实现 LoginModule ( javax.security.auth.spi.LoginModule) 的实体名称。

LoginModule 是一个提供了特定类型的身份验证的可插拔接口。 LoginContext 通过读取配置(javax.security.auth.login.Configuration) 指定登录程序中的登录模块(S)。

一个登录配置包括以下信息 :

      Name {
             ModuleClass  Flag    ModuleOptions;
             ModuleClass  Flag    ModuleOptions;
             ModuleClass  Flag    ModuleOptions;
       };

一个登录配置中可能包括不只一个的登录模块。

ModuleClass 是登录模块的完整相称类名。Flag 值 ( Required, Requisite, Sufficient, Optional ) 则控制身份验证的行为。

ModuleOptions则直接将值传递给底层登录模块,它的格式是一个用空格分割的列表。

将下列 Tomcat JAAS Realm 配置添加到 Tomcat server.xml 文件中:

<realm classname="org.apache.catalina.realm.JAASRealm" appname="jasslogin" userclassnames="com.test.secure.TestUserPrincipal" roleclassnames="com.test.secure.TestRolePrincipal">
 
</realm>

在 tomcat/conf 文件夹中创建 jass.config 文件:

jasslogin{
com.test.secure.TestLoginModule  required;
};

在 tomcat/bin 文件夹中创建 setenv.bat 文件,并添加下列配置:

set JAVA_OPTS=-Djava.security.auth.login.config==C:/tomcat/conf/jaas.config

2. 登录模块

当 logincontext 读取配置时,登录模块将初始化,包括 Subject ( javax.security.auth.Subject),回叫处理( javax.security.auth.callback.CallBackHandler),共享登录模块以及 LoginModule-specific 选项。

  boolean login() throws LoginException;

第一个被 LoginContext 调用来实际处理身份验证的方法是 Login 方法,它将返回 true 或 false 。如果验证成功, commit 方法将被调用。

 package com.test.secure;

import java.io.IOException;
import java.security.Principal;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.ArrayList;
import java.util.List;
import java.util.Map;

import javax.security.auth.Subject;
import javax.security.auth.callback.Callback;
import javax.security.auth.callback.CallbackHandler;
import javax.security.auth.callback.NameCallback;
import javax.security.auth.callback.PasswordCallback;
import javax.security.auth.callback.UnsupportedCallbackException;
import javax.security.auth.login.LoginException;
import javax.security.auth.spi.LoginModule;

import org.apache.log4j.Logger;

public class TestLoginModule implements LoginModule {

	Logger logger = Logger.getLogger(TestLoginModule.class);
	public static String USER_QUERY = "select user_name from users where user_name=? and user_pass=?";
	public static String ROLE_QUERY = "select role_name from  user_roles where user_name=?";

	private Subject subject;
	private CallbackHandler callbackHandler;
	private Map sharedState;
	private Map options;

	// configurable option
	private boolean debug = false;

	// the authentication status
	private boolean succeeded = false;
	private boolean commitSucceeded = false;

	// user credentials
	private String username = null;
	private char[] password = null;
	// principals
	private TestUserPrincipal testUserPrincipal;
	private TestRolePrincipal testRolePrincipal;
	private TestPasswordPrincipal testPasswordPrincipal;

	@Override
	public void initialize(Subject subject, CallbackHandler callbackHandler,
			Map<String, ?> sharedState, Map<String, ?> options) {

		this.subject = subject;
		this.callbackHandler = callbackHandler;
		this.sharedState = sharedState;
		this.options = options;

	}

	@Override
	public boolean login() throws LoginException {

		if (callbackHandler == null) {
			throw new LoginException("call back handler is null");
		}

		Callback[] callbacks = new Callback[2];
		callbacks[0] = new NameCallback("username");
		callbacks[1] = new PasswordCallback("password: ", false);

		try {

			callbackHandler.handle(callbacks);
			
			username = ((NameCallback) callbacks[0]).getName();
			password = ((PasswordCallback) callbacks[1]).getPassword();

			if (username == null || password == null) {
				throw new LoginException(
						"Callback handler does not return login data properly");

			}

			logger.info(" username" + username);
			logger.info("password" + password);

			// authenticate

			if (isValidUser()) {
				succeeded = true;
				return true;
			}
			
		

		} catch (IOException e) {
			e.printStackTrace();
		} catch (UnsupportedCallbackException e) {
			e.printStackTrace();
		}

		return false;
	}

	@Override
	public boolean commit() throws LoginException {
		
		logger.info("committing...");

		if (succeeded == false) {
			return false;
		} else {
			testUserPrincipal = new TestUserPrincipal(username);
			
			
			if (!subject.getPrincipals().contains(testUserPrincipal)) {
				subject.getPrincipals().add(testUserPrincipal);
				
			}
			
			
		/*	testPasswordPrincipal = new TestPasswordPrincipal(new String(
					password));
			if (!subject.getPrincipals().contains(testPasswordPrincipal)) {
				subject.getPrincipals().add(testPasswordPrincipal);
				
			}
*/
			// populate subject with roles.
			
			
			// strings
			List roles = getRoles(testUserPrincipal);
			
			
			
			for (String role : roles) {
				
				
				
				testRolePrincipal = new TestRolePrincipal(role);
				
				if (!subject.getPrincipals().contains(testRolePrincipal)) {
					
					subject.getPrincipals().add(testRolePrincipal);
					
				}
					
					
				
			}
			
			
			commitSucceeded = true;

			logger.info("Login subject were successfully populated with principals and roles");
			logger.info("--------------principals");
			logger.info(subject.getPrincipals());
				
		   
			
			for(Principal p: subject.getPrincipals()){
				
				if(p instanceof TestRolePrincipal){
					
					logger.info(" ROLE: "+p.getName());
					
				}
				
				
			}
			
			
			

			return true;
		}
	}

	@Override
	public boolean abort() throws LoginException {

		if (succeeded == false) {
			return false;
		} else if (succeeded == true && commitSucceeded == false) {
			succeeded = false;
			username = null;
			if (password != null) {
				password = null;
			}
			testUserPrincipal = null;
		} else {
			logout();
		}
		return true;
	}

	@Override
	public boolean logout() throws LoginException {

		subject.getPrincipals().remove(testUserPrincipal);
		succeeded = false;
		succeeded = commitSucceeded;
		username = null;
		if (password != null) {
			for (int i = 0; i < password.length; i++) {
				password[i] = ' ';
				password = null;
			}
		}
		testUserPrincipal = null;
		return true;
	}

	private boolean isValidUser() throws LoginException {

		Connection connection = null;

		ResultSet rs = null;
		PreparedStatement stmt = null;

		try {

			connection = getConnection();

			stmt = connection.prepareStatement(USER_QUERY);
			stmt.setString(1, username);
			stmt.setString(2, new String(password));

			rs = stmt.executeQuery();

			if (rs.next()) { // User exist with the given user name and
								// password.
				return true;
			}
		} catch (Exception e) {
			logger.error("Error when loading user from the database " + e);
			e.printStackTrace();
		} finally {
			try {
				rs.close();
			} catch (SQLException e) {
				logger.error("Error when closing result set." + e);
			}
			try {
				stmt.close();
			} catch (SQLException e) {
				logger.error("Error when closing statement." + e);
			}
			try {
				connection.close();
			} catch (SQLException e) {
				logger.error("Error when closing connection." + e);
			}
		}
		return false;
	}

	private List getRoles(TestUserPrincipal user) {

		Connection connection = null;

		ResultSet rs = null;
		PreparedStatement stmt = null;

		List roleList = new ArrayList();

		try {

			connection = getConnection();

			stmt = connection.prepareStatement(ROLE_QUERY);
			stmt.setString(1, username);

			rs = stmt.executeQuery();

			while (rs.next()) {
				roleList.add(rs.getString("role_name"));
				user.addRole(new TestRolePrincipal((rs.getString("role_name"))));
			}
		} catch (Exception e) {
			logger.error("Error when loading user from the database " + e);
			e.printStackTrace();
		} finally {
			try {
				rs.close();
			} catch (SQLException e) {
				logger.error("Error when closing result set." + e);
			}
			try {
				stmt.close();
			} catch (SQLException e) {
				logger.error("Error when closing statement." + e);
			}
			try {
				connection.close();
			} catch (SQLException e) {
				logger.error("Error when closing connection." + e);
			}
		}
		
		return roleList;
	}

	private Connection getConnection() {

		try {
			Class.forName("com.mysql.jdbc.Driver");
			return DriverManager.getConnection(
					"jdbc:mysql://localhost:3306/test", "root", "password");
		} catch (Exception e) {
			e.printStackTrace();
		}
		return null;
	}

}

package com.test.secure;

import java.security.Principal;
import java.util.HashSet;
import java.util.Iterator;
import java.util.Set;

import org.apache.catalina.Group;
import org.apache.catalina.Role;
import org.apache.catalina.User;
import org.apache.catalina.UserDatabase;

public class TestUserPrincipal implements User {
	
	
	private String username;
	private Set roles = new HashSet();
	
	public TestUserPrincipal(String u){
		this.username=u;
	}

	@Override
	public String getName() {
		// TODO Auto-generated method stub
		return  username;
	}

	@Override
	public void addGroup(Group arg0) {
		// TODO Auto-generated method stub
		
	}

	@Override
	public void addRole(Role role) {
	roles.add(role);
		
	}

	@Override
	public String getFullName() {
		// TODO Auto-generated method stub
		return username;
	}

	@Override
	public Iterator getGroups() {
		
		
		
		return null;
	}

	@Override
	public String getPassword() {
		// TODO Auto-generated method stub
		return null;
	}

	@Override
	public Iterator getRoles() {

        return roles.iterator();
	}

	@Override
	public UserDatabase getUserDatabase() {
		// TODO Auto-generated method stub
		return null;
	}

	@Override
	public String getUsername() {
		// TODO Auto-generated method stub
		return username;
	}

	@Override
	public boolean isInGroup(Group arg0) {
		// TODO Auto-generated method stub
		return false;
	}

	@Override
	public boolean isInRole(Role role) {
		
		if(1==1){
			return true;
		}
		
		if(!roles.isEmpty()){
			Iterator it =roles.iterator();
			while(it.hasNext()){
			Role rol =(Role)it.next();
			if(rol.getName()!=null && rol.getName().equals(role.getName())){
				return true;
			}
			}
		}
		
		return false;
	}

	@Override
	public void removeGroup(Group arg0) {
		// TODO Auto-generated method stub
		
	}

	@Override
	public void removeGroups() {
		// TODO Auto-generated method stub
		
	}

	@Override
	public void removeRole(Role arg0) {
		// TODO Auto-generated method stub
		
	}

	@Override
	public void removeRoles() {
		roles.clear();
		
	}

	@Override
	public void setFullName(String arg0) {
		setUsername(username);
		
	}

	@Override
	public void setPassword(String arg0) {
		// TODO Auto-generated method stub
		
	}

	@Override
	public void setUsername(String arg0) {
	 this.username=arg0;
		
	}

	
	
}


package com.test.secure;

import java.io.Serializable;

import java.security.Principal;

import org.apache.catalina.Role;
import org.apache.catalina.UserDatabase;

public class TestRolePrincipal implements Role, Serializable {
	
	
	private String roleName;
	
	
	public TestRolePrincipal(String name){
		this.roleName=name;
	}

	@Override
	public String getName() {
		// TODO Auto-generated method stub
		return getRolename();
	}

	@Override
	public String getDescription() {
		// TODO Auto-generated method stub
		return " some role";
	}

	@Override
	public String getRolename() {
		// TODO Auto-generated method stub
		return roleName;
	}

	@Override
	public UserDatabase getUserDatabase() {
		// TODO Auto-generated method stub
		return null;
	}

	@Override
	public void setDescription(String arg0) {
		
		
	}

	@Override
	public void setRolename(String arg0) {
		roleName =arg0;
		
	}

你需要将 tomcat/lib 中的三个类都封装到 jar 中,一边在启动时加载。

3.登录处理器

在这个例子中我们使用的是 Spring MVC,但作为测试,你可使用任何其他的请求处理器,或者只是一个 Servlet:

package com.test.secure;

import java.security.Principal;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.apache.catalina.Session;
import org.springframework.web.servlet.ModelAndView;
import org.springframework.web.servlet.mvc.AbstractController;

public class SecureController extends AbstractController {

	@Override
	protected ModelAndView handleRequestInternal(HttpServletRequest req,
			HttpServletResponse res) throws Exception {

 
		
   
		
	ModelAndView m = new ModelAndView("SecureView");
	return m;
	}

}

4. 安全约束

在 web.xml 中增加一个安全约束 ( org.apache.catalina.deploy. SecurityConstraint) 和角色授权的资源访问:

 < security-constraint >
  
  < web-resource-collection >
  < web-resource-name>interdit< /web-resource-name >
  < url-pattern >/go/*< /url-pattern >
  < /web-resource-collection >
  
  < auth-constraint >
  < description>tomcat< /description >
  < role-name>tomcat< /role-name >
  < /auth-constraint>

 < /security-constraint>

然后添加登录和登录错误页

FORMjasslogin/join.do/joinerror.do

5. 用户密码和角色

CREATE TABLE `users` (
  `user_name` varchar(15) NOT NULL,
  `user_pass` varchar(15) NOT NULL,
  PRIMARY KEY (`user_name`);

INSERT INTO `users` VALUES ('admin','root'),('role1','root'),('tomcat','tomcat');


CREATE TABLE `user_roles` (
  `user_name` varchar(15) NOT NULL,
  `role_name` varchar(15) NOT NULL,
  PRIMARY KEY (`user_name`,`role_name`);


INSERT INTO `user_roles` VALUES ('tomcat','manager-gui'),('tomcat','manager-jmx'),('tomcat','manager-script'),('tomcat','manager-status'),('tomcat','tomcat');

6.登录表单

<form action="<%= response.encodeURL(" j_security_check")="" %="">" method="post">
 
    <fieldset>
        <legend>Login </legend>
        <p><label for="name">Username</label> <input name="j_username" type="text"></p>
        <p><label for="e-mail">Password</label> <input name="j_password" type="password"><br></p>
        <p class="submit"><input value="Submit" type="submit"></p>
    </fieldset>
 
</form>


本文转载自:http://www.oschina.net/translate/tomcat-jaas-authentication-and-authorization?cmp

boonya
粉丝 79
博文 330
码字总数 64084
作品 0
海淀
高级程序员
私信 提问
Tomcat JAAS 简单的登录

Java Authentication Authorization Service(JAAS,Java验证和授权API)提供了灵活和可伸缩的机制来保证客户端或服务器端的Java程序。[来自百度百科] 登录界面 注意 下面的 name是不可以修改...

Jeremy_pan
2015/03/21
571
0
Seam安全模块框架--Seam Security

Seam Security 中的验证特性是基于JAAS (Java Authentication and Authorization Service)开发的,它提供了用来进行用户身份认证的高度可配置的接口。然而,针对复杂多变的验证需求,Seam ...

匿名
2010/12/03
1.2K
0
敬献Spring Security-3.x官方文档中文版

因机房被封,网站暂时无法访问,请耐心等待,诚心祷告早日恢复。 Spring Security-3.x新近发布,整体的项目结构和包名都出现了天翻地覆的变化,与此同时,Spring Security-3.x中也提供了ses...

hans汉斯
2010/01/21
2.9K
1
课余时间技术方面晋级

javaWeb开源技术与框架 负载均衡 2015.11.27研究完成 ok、   工作流、   规则引擎   搜索引擎、   缓存引擎 、   任务调度、   身份认证   报表服务、   系统测试、   集群...

圣杰是也
2015/11/28
68
0
浅谈Spring Security与Java应用安全保护

  Spring Security是一个强大且高度可定制的安全框架,致力于为Java应用提供身份认证和授权。第一本Spring Security中文版图书《Spring Security实战》现已上市,文末参与互动赢取新书~  ...

java进阶架构师
2019/09/10
0
0

没有更多内容

加载失败,请刷新页面

加载更多

每天AC系列(一):三数之和

1 题目 LeetCode第15题,难度中等,题目描述: 给定一个包含 n 个整数的数组 nums,判断 nums 中是否存在三个元素 a,b,c ,使得 a + b + c = 0 ?找出所有满足条件且不重复的三元组。 注意:答...

Blueeeeeee
今天
106
0
OSChina 周四乱弹 —— 水果你们都没吃全

Osc乱弹歌单(2020)请戳(这里) 【今日歌曲】 @ 莱布妮子:分享五月天的单曲《温柔》@小小编辑 @cIouddyy @clouddyy 《温柔》- 五月天 手机党少年们想听歌,请使劲儿戳(这里) @FalconChe...

小小编辑
今天
273
2
聚合支付网站被黑客攻击 导致数据库被篡改的防御办法

2020春节即将来临,收到新聚合支付平台网站客户的求助电话给我们Sinesafe,反映支付订单状态被修改由原先未支付修改为已支付,导致商户那边直接发货给此订单会员了,商户和平台的损失较大,很多码...

网站安全
昨天
108
0
MySQL-基于SELECT查询的UPDATE查询

我需要检查(从同一张表)基于日期时间的两个事件之间是否存在关联。 一组数据将包含某些事件的结束日期时间,另一组数据将包含其他事件的开始日期时间。 如果第一个事件在第二个事件之前完成...

javail
昨天
90
0
将PostgreSQL数据库复制到另一台服务器

我正在将生产PostgreSQL数据库复制到开发服务器。 什么是最快,最简单的方法? #1楼 pg_dump the_db_name > the_backup.sql 然后将备份复制到您的开发服务器,并使用以下命令进行还原: ps...

技术盛宴
昨天
154
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部