JAAS JBOSS 7 Авторизация и аутентификация толстого клиента

Появилась такая задача.
Есть толстый клиент и JBOSS AS 7.
Необходимо логинить пользователей через толстый клиент.

Кто знает где можно почитать новичку в этом вопросе о том, как это делать правильно с участием JBOSS 7. Нужна доступная детальная дока. Или хотя бы последовательный список источников после прочтения которых все становится понятно. И если можно, вкратце обрисовать, как эти механизмы работают, какой уровень безопасности они предоставляют.

Большое спасибо!

0

вкратце так http://www.coderanch.com/t/881... S-Tutorial

длиннее тут http://devbank.wordpress.com/2... ial-part1/

самое длинное http://www.oracle.com/technetw... 89689.html

2

Спасибо за ссылки. Начинаю вникать.. По факту отпишусь.

0

Вот что удалось накопать.

Аутентификаци на основе JAAS лучше всего расписана вот тут:
http://www.javaranch.com/journ... 804.jsp#a6

Делее специфика JBOSS 7.1
Покажу как наладить удаленный доступ к EJB компоненту, при этом обеспечить аутентификацию пользователей: понять кто именно вызывает наш EJB метод, а также как уметь ограничить доступ пользователей, либо ограничить доступ пользователей, которые не обладают необходимыми правами.

Подразумевается, что хотя бы поверхностно с JBOSS 7 и EJB 3 знакомы.

В standalone.xml

1. добавляем Realm, в раздел <management>
<security-realms> по аналогии с ApplicationRealm:

2. В разделе <subsystem xmlns="urn:jboss:domain:security:1.1"> <security-domains>
добавляем новый security domain:

3. В разделе
Создаем файлы с пользователями и ролями, на которые будет опираться Логин модуль из рункта 2:
my-users.properties
my-roles.properties

Несмотря на то что в файле для создания пользователей для applicationRealm указано, что пароль должен быть хеш функцией с участием realm, так это не работает с другим реалмом. Да и не нужно.
Надо просто указать пароль без всякого хеширования
# The format of this realm is as follows: -
# username=HEX( MD5( username ':' realm ':' password))

пример (для my-users.properties):
userAlex=pass1234

пример (для my-roles.properties)
userAlex=admin,superuser,
(роли указываются через запятую, без каких либо пробелов и в конце тоже запятая!)

С настройками сервера все.

Серверная часть, EJB
В EJB никаких xml не надо (не обязательно, делаем все по-современному, через аннотации):
Тут легче объяснить на примере.

Пример.

Так как вызов удаленный, то естественно, принимаемые и возвращаемые параметры должны быть сериализуемыми, и сам бин всеже тоже.

Аутентификация:
При удаленном вызове с клиента, когда мы попадаем в бин, в контексте сессии уже содержится пользователь, от имени которого с клиента происходит соединение.
Поэтому из контекста сессии мы узнаем что за пользователь выполняет метод.

Авторизация:
Контроль за выполнением проходит двумя способами.
1) Во-первых, к этому бину имеет право получить доступ только пользователь из security domain "ejb-security-domain", это обеспечивается аннотацией
SecurityDomain("ejb-security-domain") перед именем класса.
2) Метод getServerInfo() могут выполнять только пользователи, у которых есть роль (право) "uperuser".

Клиетская часть.

Так мы получаем InitialContext для удаленного доступа к нашим бинам (бину).

String userName = "userAlex";
String userPass = "pass1234";
Таким образом вы передаете данные пользователя, под которым хотите взаимодействовать с бином.


Context context = getInitialContext();

String earName="myejb"; // myejb.ear - то что задеплоено на сервер, где находится jar с бином
String jarName="servercode"; // servercode.jar - внутри ear находится jar файл, в котором наш ejb bean
String beanClassSimpleName; // ServerInfo
String beanClassName; // com.gp.ejb.ServerInfoRemote

ServerInfoRemote statelessBean = ServerInfoRemote context.lookup("myejb/servercode/ServerInfo!com.gp.ejb.ServerInfoRemote") ;

Эту же стороку можно увидеть, когда вы деплоите на сервер свой ear. В консоли JBoss при деплое выводит JNDI имена. Воспользоваться можно только одним, и то, определенным способом
Для данного примера AS7 выведет среди прочих:
java:jboss/exported/myejb/servercode/ServerInfo!com.gp.ejb.ServerInfoRemote

В общем случае, подойдет то, что после exported.

Таким образом мы получаем доступ (прокси) к нашему бину.
Далее вызовем удаленный метод:
String s = statelessBean.getServerInfo() // получим s= "Server works. User/Executor/Principal = userAlex"

Можно также подключать на сервере и другие LoginModules , например для аутентификации пользователей не из файла properties как в данном примере, а из базы данных (https://community.jboss.org/thread/168992)
к счастью информация на эту тему широко доступна.
Да, при изменении файла с пользователями, сервер сразу же подтягивает информацию из файла (как измененные пароли, новые пользователи или изменение ролей у пользователя), перезапускать не надо.

Можно также подключить SSL. В этом случае удаленное взаимодействие станет еще и безопасным. Но это уже отдельная песня.

0