问题标签 [jaas]

我希望用户能够单点登录，即一旦以Windows User身份登录，我的应用程序提供的所有服务都应该可以在没有进一步身份验证的情况下访问。

为了验证我正在使用的用户JAAS（Java 身份验证和授权服务），它集成在 Java 中。

Java API 还附带了几个 JAAS LoginModule。其中之一称为NTLoginModule，它检索有关当前登录的 Windows 用户的用户信息。

1. NTLoginModule 从哪里检索它的信息？
2. 我可以使用 NTLoginModule 返回的信息以安全的方式验证当前用户吗？
3. 有什么我必须知道的安全问题吗？

先感谢您！

I plan to create a Java EE application in which, obviously, there will be users, groups and rights. As this application is all new, I'll use Java EE 6 and EJB security annotations : @RolesAllowed, @DeclareRoles, ...

In this context, I'm looking for a way to implement simply the users/groups/roles management. So, is there any lib I could plug in my webapp that would allow me to create users, groups and assign them roles ? Or will i have to do all that job by myself ?

EDIT From what I've discovered, this can be achieved using a JDBC Realm. More specifically, using as an example Flexible JDBC Realm, all I have to do is to declare Users/Groups in my application, then bind them to that realm. Am I right ?

编写 Java EE 6 应用程序我需要一些使用 DatabaseServerLoginModule 和 md5 散列的帮助。

设置：

登录-config.xml：

网页.xml：

登录实现（重要部分）：

我使用以下实现存储密码：

我使用来自互联网的一些 md5 生成器检查了写入数据库的值，例如http://www.miraclesalad.com/webtools/md5.php

写的都一样。

使用完全没有 md5 散列并且使用表单而不是配置的摘要的身份验证方法。任何想法？

提前致谢

我想在包含多个战争的整个 EAR 文件中实现 JAAS。

我已经成功地在每场战争中设置了它，但这意味着当用户在战争之间切换（通过之间的超链接）时，他们必须为每场战争再次登录，即使每场战争都配置为使用相同的领域。

如何为整个 EAR 创建单点登录流程？

谢谢。

我已经使用 config.xml 中的阀门为 tomcat 实现了 SSO，但是我的所有应用程序都使用一个领域，而服务器 (geronimo) 使用另一个领域。

自从介绍了这一点，他们现在发生了冲突。如果登录到我的应用程序，geronimo 控制台会给出 403，反之亦然。我必须在一个领域中退出应用程序才能登录到另一个领域。

有谁知道我该如何解决这个问题？组合领域不是一种选择，因为我的 Web 应用程序的用户无法访问控制台。

我有一个有趣的项目要求，我们必须接受一个令牌作为 GET 参数，该参数将对进入应用程序的用户进行身份验证。这是为了允许受信任的第三方无缝地将用户发送到我们的网站，而无需让他们再次登录。

一个例子可能是： http ://www.myproj.com/appName/index.jsf?user_token=asdf123randomstuffaf12fsaasdf

appName 将是上下文根，而 user_token 将是可以检查的令牌。令牌将被使用一次，然后被丢弃，并在生成后几秒钟过期。令牌部分并不是我真正感兴趣的，它是与 JAAS 的集成。

在 Spring Security 中，我可以设置一个过滤器来拦截请求，从 URL 中提取令牌，并根据 UserDetailsS​​ervice 对用户进行身份验证。遗憾的是，Spring Security 在这个项目中因无数问题而无法使用，因此我们将需要使用 JAAS 身份验证。

我不是要代码，但我可以对需要编写哪些模块使用一些基本的指导，这样我就可以继续我的研究。谢谢大家，

我正在尝试使用 Jaas、Java Authentication and Autorisation 服务。服务器是 App Engine，因此无法编辑 web.xml。我正在使用一个 servlet 过滤器，例如：

对 LoginContext 的调用会检查策略并引发以下异常：

我使用的代码来自Oracle 参考。他们解释说，在存在安全管理器的情况下，有必要以这种方式授予一些权限：

我只是不明白为什么要在 JAR 中制作。

我可以在运行配置中使用 -D--enable_all_permissions=true 绕过此检查。（但这要解决进入 prod）然后，在 System.getProperty("user.home")/.java.login.config 中搜索 Jaas 配置文件。难道不是在项目资源中吗？这如何在本地/生产中工作？

配置文件如下：

非常感谢。

附言。Spring Security 可以与 Jaas 一起使用并在 App Engine 上工作。pps。无法使用 Spring Security，因为它会启动 Spring 上下文，这会减慢 App Engine 的启动速度。并且一直在这个环境下启动。

RBAC 很好理解，所以这超出了 RBAC。

寻找一种有效/经过测试的方法来处理基于属性或域的安全性，以便主体可能具有 N 个属性（具有 N 个值），这些属性将限制他们可以看到或看不到的内容。我知道 acegi 可以处理这个问题，但是通过替换 JAAS，我想评估是否有办法与 JAAS 一起处理这个安全模型。

例子：

乔喜欢苹果、橘子、梨。

约翰喜欢橘子和西红柿。

简喜欢苹果，但对西红柿过敏（明确否认西红柿）。

您供应 100 种蔬菜和水果，并且您专注于每种水果和蔬菜的特殊品种。

如果有人有权查看苹果，他们可以查看所有专门的苹果，例如“granny smiths”，但如果他们没有“喜欢”属性/权限，则不允许查看其他专门的类型。

技术上，每个主体都有与之关联的各种属性，这将限制他们从各种数据调用/更新中看到的内容，并寻找一种干净的方式来支持将这些属性与主体一起用于 JavaEE 设置（ejb/servlet ）。

提前致谢！

我正在使用 JAAS 并为不同角色的某些文件夹应用了安全性。我想为不同的用户隐藏一些导航，因为虽然页面不可访问，但用户仍然可以看到他没有权限的链接？在 JSF 中实现这一目标的简单方法是什么？我是否需要调用一个方法来检查每个导航链接的“渲染”属性中的角色？任何示例代码？请帮忙！

我在 glassfish 3.0 中配置了 JAAS 并使用 JDBCRealm 来验证用户。它工作正常，并且 URL 受到限制。但是该方法 #{facesContext.externalContext.isUserInRole('admin')}总是返回 false，即使登录用户是 admin。我已经为我的数据库中的“组名”和映射文件中的“角色名”设置了“admin”，并且用户是 admin。可能是什么问题？