JAAS 是 Java Authentication and Authorization Service 的缩写，是 Java 的一个安全框架

大家好，欢迎来到IT知识分享网。

JAAS 是 Java Authentication and Authorization Service 的缩写，是 Java 的一个安全框架。它提供了一套标准的 API，可以让应用程序开发人员实现各种不同的身份验证和授权机制。通过 JAAS，应用程序可以使用多种不同的身份验证技术来验证用户的身份，例如用户名和密码、数字证书、生物特征等，同时也可以使用多种不同的授权技术来控制用户对系统资源的访问权限。JAAS 是 Java SE 中一个可选的扩展，因此在使用它之前需要先进行相应的配置和安装。

以下是一个使用 JAAS 进行身份验证的 Java 代码示例，它使用了基于用户名和密码的身份验证技术：

import javax.security.auth.login.LoginContext; import javax.security.auth.login.LoginException; public class JaasTest { 
    public static void main(String[] args) { 
    try { 
    // 创建一个 LoginContext 对象 LoginContext lc = new LoginContext("Sample", new SampleCallbackHandler()); // 进行身份验证 lc.login(); System.out.println("Authentication succeeded!"); } catch (LoginException e) { 
    System.out.println("Authentication failed:" + e.getMessage()); } } } 

1.基于代码的授权（Code-Based Authorization）：在代码级别上授权，指定哪些代码可以访问哪些资源，这是传统 Java 安全机制的基础。

2.基于角色的授权（Role-Based Authorization）：在应用程序级别上授权，指定哪些用户角色可以访问哪些资源。

3.基于策略的授权（Policy-Based Authorization）：在系统级别上授权，指定哪些用户或角色可以访问哪些资源，是 JAAS 中最重要的授权机制。

4.基于标识的授权（Identity-Based Authorization）：在用户级别上授权，指定哪些用户可以访问哪些资源。

5.基于主体的授权（Subject-Based Authorization）：在用户级别上授权，指定哪些主体（Subject）可以访问哪些资源。

以下是一个基于策略的授权的例子：

// 从配置文件中获取登录模块名称 String loginModuleName = "ExampleLoginModule"; // 从配置文件中获取授权模块名称 String policyModuleName = "ExamplePolicyModule"; // 创建登录上下文 LoginContext lc = new LoginContext(loginModuleName, new ExampleCallbackHandler()); // 登录 lc.login(); // 获取当前 Subject Subject subject = lc.getSubject(); // 创建授权上下文 AccessControlContext acc = AccessController.getContext(); // 通过 JAAS 获取 Policy 实例 Policy policy = Policy.getInstance("JavaPolicy", new URIParameter(new File("example.policy").toURI())); // 在授权上下文中执行安全代码 Subject.doAsPrivileged(subject, (PrivilegedAction<Object>) () -> { 
    try { 
    // 启用 JAAS 安全管理器 System.setSecurityManager(new SecurityManager()); // 进行授权 AccessController.checkPermission(new ExamplePermission("example.permission")); System.out.println("Authorized"); } catch (AccessControlException e) { 
    System.out.println("Access denied"); } return null; }, acc); 

JAAS（Java Authentication and Authorization Service）和Spring Security都是用于管理Java应用程序安全性的技术。它们之间的不同点如下所述：

• JAAS是Java SE中的标准API，而Spring Security是一个基于Spring框架的应用程序安全框架。
• JAAS提供了认证和授权的基本框架，而Spring Security提供了更高级别的功能，如防止跨站点请求伪造、会话管理和注销等。
• JAAS主要关注单个用户的身份验证和授权，而Spring Security可以处理更复杂的安全模型，例如基于角色的访问控制和访问控制列表。

因此，Spring Security是一个更全面的框架，适用于更大型、复杂的应用程序。

1. 准备用户、角色以及用户角色的数据库表。
2. 在 loadUserByUsername(String) 方法中返回带有角色信息的 UserDetails 对象。可以通过实现 UserDetailsService 接口的 loadUserByUsername 方法自定义获取用户信息的逻辑，获取用户的角色信息并构建 UserDetails 对象。
3. 在 configure(HttpSecurity) 方法中对角色的权限进行设置。HttpSecurity 是 Spring Security 中的核心配置类，可以使用它来配置请求的安全性。通过使用它提供的许多方法，比如 authorizeRequests()、antMatchers()、hasRole()、authenticated() 等，可以实现对请求的细粒度控制。

下面是一个简单的示例，演示如何在 Spring Security 中实现基于角色的访问控制：

@Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { 
    @Autowired private UserDetailsService userDetailsService; @Override protected void configure(HttpSecurity http) throws Exception { 
    http .authorizeRequests() .antMatchers("/admin/").hasRole("ADMIN") .antMatchers("/user/").hasRole("USER") .anyRequest().authenticated() .and() .formLogin() .and() .httpBasic(); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { 
    auth.userDetailsService(userDetailsService); } } 

在上面的示例中，我们通过调用 authorizeRequests() 方法来对请求进行授权，使用 antMatchers() 方法指定需要授权的 URL 路径，并通过 hasRole() 方法来指定需要的角色。在本例中，只有具有 ADMIN 角色的用户才能访问 /admin 下的 URL，而具有 USER 角色的用户则只能访问 /user 下的 URL。任何请求都需要进行身份验证，因此使用 authenticated() 方法来指定。