項(xiàng)目中用到了JAAS，以前沒(méi)有接觸過(guò)，google了半天資料。趕快紀(jì)錄下來(lái)：

1．JAAS全稱為Java authentication and authorization service，用于設(shè)計(jì)可拔插的安全機(jī)制。一般項(xiàng)目中用在web端或ejb訪問(wèn)控制。

2．直接以例子進(jìn)行（基于JBoss4.0.0）:

   2.1 首先確定需要以何種方式進(jìn)行驗(yàn)證，文件/數(shù)據(jù)庫(kù)/LDAP。目前的項(xiàng)目是用數(shù)據(jù)庫(kù)方式。

   2.2  在JBoss中以文件方式驗(yàn)證，可以參考jmx-console.war的配置:將jboss-web.xml中的注釋去掉，然后再把web.xml中的那一段注釋拿掉。確認(rèn)classes目錄下的jmx-console-users.properties和jmx-console-roles.properties存在。

   2.3重起jboss，http://localhost:8080 點(diǎn)擊jmx-console鏈接，則需要安全驗(yàn)證。


3．在web應(yīng)用中使用基于database方式的JAAS:
   3．1 創(chuàng)建role table：

      CREATE TABLE Principals (PrincipalID VARCHAR (64) PRIMARY KEY,Password VARCHAR (64));     
      INSERT INTO Principals VALUES ('admin', '123');
      INSERT INTO Principals VALUES ('guest', '456') ;
      CREATE TABLE Roles (PrincipalID VARCHAR (64), Role VARCHAR (64), RoleGroup VARCHAR (64));
      INSERT INTO Roles VALUES ('admin', 'admin', 'Roles');
      INSERT INTO Roles VALUES ('guest', 'guest', 'CallerPrincipal');

    3.2 創(chuàng)建一個(gè)datasource文件?？梢詮?lt;%jboss_home%>/server/docs/examples/jca 目錄下拷貝一個(gè)至deploy目錄。Ds文件的內(nèi)容作相應(yīng)修改。

    3.3 修改<%jboss_home%>/server/你的服務(wù)/conf/login-config.xml,添加：
    <application-policy name="MyEJB">  
     <authentication>    
      <login-module code="org.jboss.security.auth.spi.DatabaseServerLoginModule" flag="required">
        <module-option name = "dsJndiName">java:/MSSQLDS</module-option>
        <module-option name = "principalsQuery">SELECT Password FROM Principals WHERE  PrincipalID=?</module-option>
        <module-option name = "rolesQuery">SELECT Role,RoleGroup FROM Roles WHERE PrincipalID=?</module-option>
      </login-module>
     </authentication>
     </application-policy>

     3.4  仿照jmx-console的配置，將jboss-web.xml,和 web.xml中注釋掉的security內(nèi)容拷貝過(guò)來(lái)。其中為：java:/jaas/ MyEJB 與 login-config.xml的設(shè)置對(duì)應(yīng)，為super與數(shù)據(jù)庫(kù)對(duì)應(yīng)。

     3.5 重起jboss.訪問(wèn)web應(yīng)用.

4.在EJB中使用
     4.1  需要在ejb-jar.xml,jboss.xml中添加屬性。
     ejb-jar.xml:
     <ejb-jar>
     <enterprise-beans>
          <session>
                 <ejb-name>BookService</ejb-name>
                 <home>com.shawn.BookRemoteHome</home>
                 <remote>com.shawn.BookRemoteObject</remote>
                 <ejb-class>com.shawn.BookServiceBean</ejb-class>
                 <session-type>Stateless</session-type>
                 <transaction-type>Container</transaction-type>
                 <security-role-ref>
                        <role-name>super</role-name>
                        <role-link>super</role-link>
                 </security-role-ref>
          </session>
      </enterprise-beans>
      <assembly-descriptor>
          <security-role>
                 <description>Administrator</description>
                 <role-name>super</role-name>
          </security-role>
          <method-permission>
                 <description>addbook</description>
                 <role-name>super</role-name>
                 <method>
                        <ejb-name>BookService</ejb-name>
                        <method-name>*</method-name>
                 </method>
          </method-permission>
       </assembly-descriptor>
       </ejb-jar>

相應(yīng)的jboss.xml:
      <jboss>    
       <security-domain>java:/jaas/MyEJB</security-domain>
       <enterprise-beans>
          <session>
                 <ejb-name>BookService</ejb-name>
                 <jndi-name>BookService</jndi-name>
          </session>
        </enterprise-beans>
        <assembly-descriptor>
           <security-role>
                 <role-name>super</role-name>
                 <principal-name>super</principal-name>
          </security-role>
        </assembly-descriptor>
        </jboss>

    4.2 寫(xiě)一個(gè)servlet（LoginServlet）訪問(wèn)該ejb.
        Properties pro = System.getProperties();
        pro.setProperty(Context.INITIAL_CONTEXT_FACTORY, "org.jnp.interfaces.NamingContextFactory");
        pro.setProperty(Context.PROVIDER_URL, "jnp://localhost:1099");
        Context con = new InitialContext(pro);
        Object obj = con.lookup("BookService");
        BookRemoteHome home = (BookRemoteHome)PortableRemoteObject.narrow(obj, BookRemoteHome.class);
        BookRemoteObject bookService= home.create();
        System.out.println("Create home successfully!");
              . . .只貼點(diǎn)關(guān)鍵代碼     

     4.3 部署ejb和web應(yīng)用，啟動(dòng)JBoss，訪問(wèn)web時(shí)需要jaas登陸，訪問(wèn)LoginServlet時(shí)調(diào)用ejb則會(huì)使用ejb的jaas的檢驗(yàn)。

5．當(dāng)然jaas允許編寫(xiě)自定義的login module，總的說(shuō)來(lái)就是：
      實(shí)現(xiàn)LoginModule接口，實(shí)現(xiàn)其中的initilize(),login() . . . 方法；
      實(shí)現(xiàn) CallbackHandler接口，實(shí)現(xiàn)其中的handle()方法；
      實(shí)現(xiàn)Principal接口。

6.仍然有疑問(wèn),留待以后考慮：
     6.1客戶端直接訪問(wèn)，譬如eclipse訪問(wèn)該EJB總是會(huì)報(bào)principal不匹配（No matching username found in Principals）,只有在web登陸后才可以正常訪問(wèn)需要授權(quán)的EJB?？蛻舳瞬荒芾?
        pro.setProperty(Context.SECURITY_PRINCIPAL, "xxx”)
        pro.setProperty(Context.SECURITY_CREDENTIALS, "xxx”)
的方式訪問(wèn)？

     6.2 JBoss4.0.0設(shè)置ejb的jaas時(shí)，總會(huì)是報(bào)有princpal不存在的異常，換成4.0.5GA就可以，奇怪哉？

至此完了，比較粗略,第一次紀(jì)錄自己的體會(huì)不容易啊。