Servlet Security 的缺憾 -- request.getUserSubject()

类别:Java 点击:0 评论:0 推荐:

此篇詳細討論在 http://www.javaworld.com.tw/jute/post/view?bid=5&id=63394&tpg=1&ppg=1&sty=1&age=1#63394

 

smallufo 對於我在 javatwo 演講的 j2ee security 很不滿意

因為我只有簡略地帶過 JAAS.

所以提出了相關的問題與討論在 JavaWorld @ Taiwan 之中

很高興和他討論, 讓我對於整個架構清晰而明朗

 

我們現在拿 jakarta-tomcat 來看

他的 JAASRealm 很簡陋, 基本上連 JAAS 堆疊式也沒有處理

就是一次只能設定一個 LoginModule,

不能根據設定相關的 Required, Requisite, Sufficient, Optional 等等處理相關的 Callback 機制

不過在 BEA Weblogic 之中, 就可以設定相關的 Authenticator ( 認證模組, 類似於 LoginModule)

所以, 如果要學習使用 JAAS in J2EE, 我認為不要使用 jakarta tomcat , 太陽春了.

 

好 ~ 首先 smallufo 所提出的 HttpServletRequets 為何沒有 getUserSubject().

我也很納悶, Subject 是 Principal 的集合, 我認為這是應該要有的,

不知道 Servlet Specification 目前有沒有相關的計劃

不過在 http://www.mail-archive.com/[email protected]/msg10133.html

Tagish ( 提供免費的 JAAS LoginModule opensource http://free.tagish.net/jaas/ ) 的 Andy Armstrong 提到

如果沒有提供  Subject request.getUserSubject() 一切的 JAAS in J2EE 都沒什麼太大意義.

不過, 在 tomcat JAASRealm 之中, http://jakarta.apache.org/tomcat/tomcat-5.0-doc/realm-howto.html#JAASRealm

設定 user/role 對應到的 Principal, 是 UserPrincipal / RolePrincipal.

就單純的 RolePrincipal 透過 isUserInRole() 來認證

 

也許有人就開始納悶了, 我登入通常只存在一個 Principal, 幹麻要有好幾個 Principal ( Subject )

其實, 主要是因為 Portal 可能整合許多 portlets, 每個 portlet 有獨自的 Principal 去處理相關的 Role-based Access Control.

所以我們會希望有 request.getUserSubject().getPrincipals() 各自判斷要採用哪一個 Principal.

我簡單舉一個例子, 當我登入 一家金控公司,

我會希望有 銀行帳號 ( BankPrincipal ), 投信帳號 ( InvestPrincipal ), 證券帳號 (BrokerPrincipal ) 等等.

當使用到銀行轉帳到證券帳號的時候, 我操作 Bank System, 與 Broker System 都可以在同一個 Subject 之下完成

 

目前來看, 我認定的解決方式, authentication 透過 Realm 呼叫 LoginModule 取得唯一的 Principal ( 可能有 UserPrincipal 與 RolePrincipal ),

authorization 是執行 isUserInRole 的同時, Container 會自己判斷 該使用者 是否具有該 角色 可以執行,

內部的運作應該就是去檢查 role-principal 送到 auth 機制去驗證 action ( url-pattern )與 role 的關係.

 

未來 Servlet 如果有 getUserSubject(), 我想才能真正使用 Java Authentication 與 Authorization . ~

 

本文地址:http://com.8s8s.com/it/it16248.htm