JAAS

项目中用到了JAAS，以前没有接触过，google了半天资料。赶快纪录下来：

1．JAAS全称为Java authentication and authorization service，用于设计可拔插的安全机制。一般项目中用在web端或ejb访问控制。

2．直接以例子进行（基于JBoss4.0.0）:

   2.1 首先确定需要以何种方式进行验证，文件/数据库/LDAP。目前的项目是用数据库方式。

   2.2  在JBoss中以文件方式验证，可以参考jmx-console.war的配置:将jboss-web.xml中的注释去掉，然后再把web.xml中的那一段注释拿掉。确认classes目录下的jmx-console-users.properties和jmx-console-roles.properties存在。

   2.3重起jboss，http://localhost:8080 点击jmx-console链接，则需要安全验证。


3．在web应用中使用基于database方式的JAAS:
   3．1 创建role table：

      CREATE TABLE Principals (PrincipalID VARCHAR (64) PRIMARY KEY,Password VARCHAR (64));     
      INSERT INTO Principals VALUES ('admin', '123');
      INSERT INTO Principals VALUES ('guest', '456') ;
      CREATE TABLE Roles (PrincipalID VARCHAR (64), Role VARCHAR (64), RoleGroup VARCHAR (64));
      INSERT INTO Roles VALUES ('admin', 'admin', 'Roles');
      INSERT INTO Roles VALUES ('guest', 'guest', 'CallerPrincipal');

    3.2 创建一个datasource文件。可以从<%jboss_home%>/server/docs/examples/jca 目录下拷贝一个至deploy目录。Ds文件的内容作相应修改。

    3.3 修改<%jboss_home%>/server/你的服务/conf/login-config.xml,添加：
    <application-policy name="MyEJB">  
     <authentication>    
      <login-module code="org.jboss.security.auth.spi.DatabaseServerLoginModule" flag="required">
        <module-option name = "dsJndiName">java:/MSSQLDS</module-option>
        <module-option name = "principalsQuery">SELECT Password FROM Principals WHERE  PrincipalID=?</module-option>
        <module-option name = "rolesQuery">SELECT Role,RoleGroup FROM Roles WHERE PrincipalID=?</module-option>
      </login-module>
     </authentication>
     </application-policy>

     3.4  仿照jmx-console的配置，将jboss-web.xml,和 web.xml中注释掉的security内容拷贝过来。其中为：java:/jaas/ MyEJB 与 login-config.xml的设置对应，为super与数据库对应。

     3.5 重起jboss.访问web应用.

4.在EJB中使用
     4.1  需要在ejb-jar.xml,jboss.xml中添加属性。
     ejb-jar.xml:
     <ejb-jar>
     <enterprise-beans>
          <session>
                 <ejb-name>BookService</ejb-name>
                 <home>com.shawn.BookRemoteHome</home>
                 <remote>com.shawn.BookRemoteObject</remote>
                 <ejb-class>com.shawn.BookServiceBean</ejb-class>
                 <session-type>Stateless</session-type>
                 <transaction-type>Container</transaction-type>
                 <security-role-ref>
                        <role-name>super</role-name>
                        <role-link>super</role-link>
                 </security-role-ref>
          </session>
      </enterprise-beans>
      <assembly-descriptor>
          <security-role>
                 <description>Administrator</description>
                 <role-name>super</role-name>
          </security-role>
          <method-permission>
                 <description>addbook</description>
                 <role-name>super</role-name>
                 <method>
                        <ejb-name>BookService</ejb-name>
                        <method-name>*</method-name>
                 </method>
          </method-permission>
       </assembly-descriptor>
       </ejb-jar>

相应的jboss.xml:
      <jboss>    
       <security-domain>java:/jaas/MyEJB</security-domain>
       <enterprise-beans>
          <session>
                 <ejb-name>BookService</ejb-name>
                 <jndi-name>BookService</jndi-name>
          </session>
        </enterprise-beans>
        <assembly-descriptor>
           <security-role>
                 <role-name>super</role-name>
                 <principal-name>super</principal-name>
          </security-role>
        </assembly-descriptor>
        </jboss>

    4.2 写一个servlet（LoginServlet）访问该ejb.
        Properties pro = System.getProperties();
        pro.setProperty(Context.INITIAL_CONTEXT_FACTORY, "org.jnp.interfaces.NamingContextFactory");
        pro.setProperty(Context.PROVIDER_URL, "jnp://localhost:1099");
        Context con = new InitialContext(pro);
        Object obj = con.lookup("BookService");
        BookRemoteHome home = (BookRemoteHome)PortableRemoteObject.narrow(obj, BookRemoteHome.class);
        BookRemoteObject bookService= home.create();
        System.out.println("Create home successfully!");
              . . .只贴点关键代码     

     4.3 部署ejb和web应用，启动JBoss，访问web时需要jaas登陆，访问LoginServlet时调用ejb则会使用ejb的jaas的检验。

5．当然jaas允许编写自定义的login module，总的说来就是：
      实现LoginModule接口，实现其中的initilize(),login() . . . 方法；
      实现 CallbackHandler接口，实现其中的handle()方法；
      实现Principal接口。

6.仍然有疑问,留待以后考虑：
     6.1客户端直接访问，譬如eclipse访问该EJB总是会报principal不匹配（No matching username found in Principals）,只有在web登陆后才可以正常访问需要授权的EJB。客户端不能利用
        pro.setProperty(Context.SECURITY_PRINCIPAL, "xxx”)
        pro.setProperty(Context.SECURITY_CREDENTIALS, "xxx”)
的方式访问？

     6.2 JBoss4.0.0设置ejb的jaas时，总会是报有princpal不存在的异常，换成4.0.5GA就可以，奇怪哉？

至此完了，比较粗略,第一次纪录自己的体会不容易啊。