問題タブ [jaas]

ユーザーがシングルサインオンできるようにしたい。つまり、Windowsユーザーとしてログオンすると、アプリケーションが提供するすべてのサービスに、それ以上の認証なしでアクセスできるようにする必要があります。

私が使用しているユーザーを認証するためにJAAS、Javaに統合されている（Java Authentication and Authorization Services）を使用しています。

Java APIには、いくつかのJAASも付属していますLoginModule。それらの1つはと呼ばれNTLoginModule、現在ログオンしているWindowsユーザーに関するユーザー情報を取得します。

1. NTLoginModuleはどこから情報を取得しますか？
2. NTLoginModuleから返された情報を使用して、現在のユーザーを安全な方法で認証できますか？
3. 知っておくべきセキュリティの問題はありますか？

前もって感謝します！

明らかに、ユーザー、グループ、および権限が存在するJavaEEアプリケーションを作成する予定です。このアプリケーションはまったく新しいので、Java EE 6とEJBのセキュリティアノテーションを使用します：@RolesAllowed、、@DeclareRoles.. ..

このコンテキストでは、ユーザー/グループ/ロール管理を単純に実装する方法を探しています。それで、ユーザー、グループを作成し、それらに役割を割り当てることを可能にする、私のWebアプリにプラグインできるライブラリはありますか？それとも私は自分でそのすべての仕事をしなければなりませんか？

編集私が発見したことから、これはJDBCレルムを使用して実現できます。具体的には、フレキシブルJDBCレルムを例として使用すると、アプリケーションでユーザー/グループを宣言し、それらをそのレルムにバインドするだけです。私は正しいですか？

Java EE 6アプリケーションを作成するには、md5ハッシュでDatabaseServerLoginModuleを使用するためのヘルプが必要です。

設定：

login-config.xml：

web.xml：

ログインの実装（重要な部分）：

次の実装を使用してパスワードを保存します。

http://www.miraclesalad.com/webtools/md5.phpのようなインターネットからのいくつかのmd5ジェネレーターを使用してデータベースに書き込まれた値を確認しました

書き込みはすべて同じです。

md5ハッシュをまったく使用せず、ダイジェスト構成の代わりにフォームを使用して、認証時にメソッドを使用すると機能します。何か案が？

前もって感謝します

複数の戦争を含むEARファイル全体にJAASを実装したいと思います。

私は各戦争でうまく設定しましたが、それは、ユーザーが戦争を切り替えるとき（間のハイパーリンクを介して）、各戦争が同じレルムを使用するように構成されている場合でも、それぞれに対して再度ログインする必要があることを意味します。

EAR全体に対してシングルサインオンプロセスを作成するにはどうすればよいですか？

ありがとう。

config.xml のバルブを使用して tomcatに SSO を実装しましたが、すべてのアプリは 1 つのレルムとサーバー (geronimo) を別のレルムを使用します。

これを導入して以来、彼らは衝突するようになりました。アプリにサインインすると、geronimo コンソールは 403 を返し、逆も同様です。別のレルムにサインインできるようにするには、あるレルムのアプリからサインアウトする必要があります。

これを解決する方法を知っている人はいますか？Web アプリのユーザーはコンソールにアクセスできないため、レルムを結合することはできません。

アプリケーションに入るユーザーを認証する GET パラメーターとしてトークンを受け入れる必要があるという興味深いプロジェクト要件があります。これは、信頼できるサード パーティがユーザーを再度ログインさせることなく、シームレスに当社のサイトに送信できるようにするためです。

例: http://www.myproj.com/appName/index.jsf?user_token=asdf123randomstuffaf12fsaasdf

appName はコンテキスト ルートになり、user_token はチェックできるトークンになります。トークンは一度使用されると破棄され、生成後数秒で期限切れになります。トークンの部分は私がこだわっているものではなく、JAAS との統合です。

Spring Security では、リクエストをインターセプトし、URL からトークンを取り出し、UserDetailsS​​ervice に対してユーザーを認証するフィルターをセットアップできます。残念ながら、Spring Security はこのプロジェクトでは無数の問題で利用できないため、JAAS 認証を使用する必要があります。

コードを要求しているわけではありませんが、研究を続けるためにどのモジュールを作成する必要があるかについて、少し基本的な方向性を示すことができます。みんな、ありがとう、

Jaas、Java Authentication and Autorisation サービスを使用しようとしています。サーバーは App Engine なので、web.xml を編集することはできません。次のようなサーブレット フィルターを使用しています。

LoginContext を呼び出すと、ポリシーがチェックされ、次の例外がスローされます。

私が使用しているコードは、Oracleリファレンスからのものです。彼らは、Security Manager が存在する場合、この方法でいくつかの権利を付与する必要があると説明しています。

これがJARで作成される理由がわかりません。

実行構成で -D--enable_all_permissions=true を使用すると、このチェックをバイパスできます。（ただし、これはprodに入るために解決されるため）そして、Jaas構成ファイルは System.getProperty("user.home")/.java.login.config で検索されます。むしろプロジェクトのリソースにあるのではないですか? これはローカル/本番環境でどのように機能しますか?

構成ファイルは次のようになります。

本当にありがとう。

ps。Spring Security は Jaas で使用でき、App Engine で動作します。pps。Spring Security は、App Engine の起動を遅くする Spring コンテキストを開始するため、使用できません。そして、この環境での起動は常に行われます。

RBACはよく理解されているので、これはRBACを超えています。

プリンシパルが表示できるものと表示できないものを制限するN個の属性（N個の値を持つ）を持つことができるように、属性またはドメインベースのセキュリティを処理するための効率的でテスト済みのアプローチを探しています。acegiがこれを処理できることは理解していますが、JAASを置き換えることで、このセキュリティモデルを処理するためにJAASと連携する方法があるかどうかを評価したいと思います。

例：

ジョーはリンゴ、オレンジ、梨が好きです。

ジョンはオレンジとトマトが好きです。

ジェーンはリンゴが好きですが、トマトにアレルギーがあります（トマトから明示的に拒否されます）。

あなたは何百もの野菜や果物を提供し、それぞれの果物や野菜の特別な品種を専門としています。

誰かがリンゴを見る許可を持っている場合、たとえば「おばあちゃんの鍛冶屋」のようなすべての特殊なリンゴを見ることができますが、その「いいね」属性/許可がない場合は他の特殊な種類を見ることができません。

技術的には、各プリンシパルにはさまざまな属性が関連付けられており、さまざまなデータ呼び出し/更新からの表示を制限し、プリンシパルを持つこれらの属性をJavaEE設定（ejb /servlet）で使用できるようにするためのクリーンな方法を探しています。 ）。

前もって感謝します！

私はJAASを使用しており、さまざまな役割のいくつかのフォルダーにセキュリティを適用しています。ページにアクセスできなくても、ユーザーは自分に権限がないリンクを表示できるため、さまざまなユーザーのナビゲーションを非表示にしますか？JSFでこれを達成する簡単な方法は何ですか？各ナビゲーションリンクの「rendered」プロパティの役割を確認するためにメソッドを呼び出す必要がありますか？サンプルコードはありますか？助けてください！

私は、glassfish 3.0 で JAAS を構成し、ユーザーの認証に JDBCRealm を使用しました。正常に動作しており、URL は制限されています。ただし、ログインしているユーザーが管理者であっても、メソッド #{facesContext.externalContext.isUserInRole('admin')}は常に false を返します。データベースの「グループ名」とマッピング ファイルの「ロール名」の両方に「管理者」を設定し、ユーザーは管理者です。何が問題なのですか？