用JAAS构建Web程序的安全.pdfVIP

第37卷 第4期 江汉大学学报(自然科学版) VOl_37NO．4 2009生12)9 JournalofJianghanUniversity(NaturalSciences) Dec．2009 用JAAS构建Web程序的安全 蔡秋枫 (盐城师范学院 信息科学与技术学院，江苏 盐城 224002) 摘 要 ：利用JAAS安全模块 ，以JBOSS作为应用平 台，并借助MySQL数据库 中的用户信息，实现 了 Web应用中用户的身份验证及授权，提高了welb程序的安全性．在J2EE环境下JAAS的验证可采用容器提 供的多种方式，并可实现单点登录，其授权 由相应配置文件指定，可在布署阶段完成，这种灵活的机制 降低 了Web程序 的应用逻辑与安全逻辑 的耦合性、提 高了系统的开发效率、增强了系统的维护性 ． 关键词：JAAS；J2EE；验证：授权；角色 中图分类号：TP393．08 文献标识码 ：A 文章编号：1673。0143(2009)04—0060．04 当前 intemet蓬勃发展 ，基于互联 网的应用层 免受到下载代码的攻击 ，JAAS强调的是通过验 出不穷 ，而 intemet的开放机制使得 Web应用的 证谁在运行代码以及其权限来保护系统免受用户 安全性受到广泛关注 ，有很多种安全模型都可以 的攻击．JAAS提供的认证机制是一种可插入式 用来对数据提供保护 ，认证和授权是两种最基本 的，允许Java应用程序保持与底层身份认证技术 的安全机制 ．认证 (Authentication)就是简单地 之间的独立 ，如WindowsNT、LDAP、Kerberos等 对一个实体的身份进行判断；而授权(Authorization) 可 以以一种通用的、可配置 的方式集成到系统 则是 向实体授予对数据资源和信息访问权限的决 中，而应用程序代码可保持不变 ，这大大简化 了 策过程．早期的Web应用中一种常用的方法是在 基于企业安全 的开发 ． 每一个需要保护的 Web页面 中编写权限检查代 在JAAS中，用户用 Subject对象表示 ，每个 码 ，这样一旦安全需求发生变化则要重新修改代 Subject拥有 1个或多个Principal身份 ，Principal对 码 ，这种将安全与应用逻辑紧密耦合的方法不利 象具有访 问某些资源的执行操作 的权限，这样用 于系统 的维护．基于 Java的认证 与授权服务 户也就有 了相应 的权 限． (JAAS)机制可将系统的安全控制放到布署阶段 1．1认证 来完成 ，这大大降低了安全逻辑与应用逻辑 的耦 在Java平台下使用JAAS认证实现过程如下_4]： 合 ，提高了系统开发和应用的灵活性． (1)应用程序初始化登录上下文(LoginContext) 对象实例 ； 1 标准JAAS安全框架 (2)登录上下文实例请求配置器加载为该应 JAAS(JavaAuthenticationandAuthorizationSer． 用程序配置的登录验证模块 (LoginModule)实 vice)是 SUN公司提出的在 Java平台上实现用户 例 ，开发系统时可根据需要使用 J2SDK1．4中包 为 中心的安全性框架Llj．它是 JDK1．3的标准扩 含的几种LoginModule实现类 ，如JndiLoginModule、 充 ，并成为JDKI．4的一个组成部分．JAAS是标 Krb5LoginModule、N