在Borland應(yīng)用服務(wù)器的基礎(chǔ)上，使用JAAS與J2EE Web容器內(nèi)在的安全機制，并借助Oracle數(shù)據(jù)庫的用戶驗證，實現(xiàn)了Web應(yīng)用中對用戶的驗證和授權(quán)。把用戶能訪問到的資源控制到頁面級，將開發(fā)階段需要考慮的安全問題轉(zhuǎn)移到部署階段，實現(xiàn)了應(yīng)用邏輯與安全邏輯的徹底分離。實踐表明，使用JAAS可以提高整個系統(tǒng)的開發(fā)效率，而Web容器提供的驗證與授權(quán)可以很好地和數(shù)據(jù)庫安全域相結(jié)合。
關(guān) 鍵 詞 驗證; 授權(quán); JAAS; J2EE Web容器; 安全

在大中型Web應(yīng)用中，實現(xiàn)系統(tǒng)的安全性是系統(tǒng)架構(gòu)師必須考慮的事。系統(tǒng)的安全性主要體現(xiàn)在兩部分：驗證和授權(quán)。驗證(Authentication)表示確定一個用戶就是他所聲稱的那個人；授權(quán)(Authorization)或訪問控制，表示已通過驗證的用戶只能訪問那些允許他訪問的資源。不同的用戶對不同的資源擁有不同的訪問權(quán)限，如何對眾多的用戶進行驗證和授權(quán)是構(gòu)建系統(tǒng)的關(guān)鍵。在早期的Web應(yīng)用中，程序員在每個頁面編寫檢查權(quán)限的代碼來實現(xiàn)對頁面的保護。如果權(quán)限發(fā)生變化，則需對應(yīng)用程序級的代碼進行修改，整個系統(tǒng)的可維護性和代碼可重用性不高，開發(fā)效率較低。而利用JAVA驗證與授權(quán)服務(wù)(Java Authentication and Authorization Service，JAAS)提供的驗證授權(quán)機制和Web容器內(nèi)在的安全機制，可以在部署階段來實現(xiàn)對用戶的授權(quán)，并能借助其他安全域(如數(shù)據(jù)庫)來實現(xiàn)對用戶的驗證。
1 JAAS提供的驗證和授權(quán)
JAAS是J2EE規(guī)范中定義的一種驗證授權(quán)框架。它提供的驗證機制是一種可插入式的，即當前應(yīng)用能在保持已有驗證機制不變的情況下加入新的驗證方式，而不用更改應(yīng)用程序級的代碼；系統(tǒng)管理員在配置文件中決定采用哪些驗證技術(shù)以及它們的驗證順序。因而非常適合企業(yè)在已經(jīng)擁有一套驗證機制的情況下使用。
在JAAS框架之下，開發(fā)人員只需在應(yīng)用程序?qū)雍偷卿浬舷挛?LoginContext)交互。LoginContext之下是一組動態(tài)配置的登錄模塊(LoginModule)對象，LoginModule是調(diào)用特定驗證機制的接口，對一個具體實現(xiàn)了LoginModuel接口的類，就是一種驗證方式。開發(fā)系統(tǒng)時可以根據(jù)需要使用J2EE1.4中包含的幾種LoginModule實現(xiàn)類(如JndiLoginModule、Krb5LoginModule、NTLoginModule、UnixLogin Module)，或編寫自己的LoginModule，或使用應(yīng)用服務(wù)器提供的相關(guān)實現(xiàn)。
JAAS框架通過一個配置文件來指定要使用的驗證機制，并對驗證模塊進行封裝。開發(fā)人員無需為如何調(diào)用驗證模塊編寫任何代碼，系統(tǒng)會根據(jù)配置文件中定義的驗證機制采取相應(yīng)的驗證方式。如果驗證成功，就會返回一個包含驗證信息的主體(Subject)，這個驗證信息將會用于授權(quán)過程。