JAAs验证机制.doc

Java认证和授权服务（JAAS）供应器 15.1.?概述 Spring Security提供一个包，可以代理Java认证和授权服务（JAAS）的认证请求。 这个包的细节在下面讨论。 JAAS的核心是登录配置文件。 想要了解更多JAAS登录配置文件的信息，可以查询Sun公司的JAAS参考文档。 我们希望你对JAAS有一个基本了解，也了解它的登录配置语法，这才能更好的理解这章的内容。 15.2.?配置 这个 JaasAuthenticationProvider 通过JAAS认证用户的主体和证书。 让我们假设我们有一个JAAS登录配置文件，/WEB-INF/login.conf， 里边的内容如下： JAASTest { sample.SampleLoginModule required; }; 就像所有的Spring Security bean一样，这个JaasAuthenticationProvider 要配置在application context里。 下面的定义是与上面的JAAS登录配置文件对应的： bean id=jaasAuthenticationProvider class=org.springframework.security.providers.jaas.JaasAuthenticationProvider property name=loginConfig value=/WEB-INF/login.conf/ property name=loginContextName value=JAASTest/ property name=callbackHandlers list bean class=org.springframework.security.providers.jaas.JaasNameCallbackHandler/ bean class=org.springframework.security.providers.jaas.JaasPasswordCallbackHandler/ /list /property property name=authorityGranters list bean class=org.springframework.security.providers.jaas.TestAuthorityGranter/ /list /property /bean 这个 CallbackHandler和AuthorityGranter会在下面进行讨论。 15.2.1.?JAAS CallbackHandler 大多数JAAS的登录模块需要设置一系列的回调方法。 这些回调方法通常用来获得用户的用户名和密码。 在Spring Security发布的时候，Spring Security负责用户交互（通过认证机制）。 因此，现在认证请求使用JAAS代理，Spring Security的认证机制将组装一个Authentication对象，它包含了所有JAASLoginModule需要的信息。 因此，Spring Security的JAAS包提供两个默认的回调处理器，JaasNameCallbackHandler 和 JaasPasswordCallbackHandler。 他们两个都实现了JaasAuthenticationCallbackHandler。 大多数情况下，这些回调函数可以直接使用，不用了解它们的内部机制。 为了需要完全控制回调行为，内部JaasAutheticationProvider使 用一个InternalCallbackHandler封装这个JaasAuthenticationCallbackHandler。 这个InternalCallbackHandler才是 实际实现了JAAS通常的CallbackHandler接口。 任何时候JAASLoginModule被使用的时候，它 传递一个application context里配置的InternalCallbackHandler列 表。 如果这个LoginModule需要回调InternalCallbackHandler，回调会传递封装好的JaasAuthenticationCallbackHandler。 15.2.2.?JAAS AuthorityGranter JAAS工作在主体上。 任何“角色”在JAAS里都是作为主体表现的。 另一方面Spring Security使用Authentication对 象。 每个Authentication对象包含单 独的主体和多个GrantedAutho