Web客户端通常通过http协议来请求web服务器端的资源,这些web资源通常包括html网页、jsp(java server page)文件、java servlet和其他一些二进制或多媒体文件。在企业环境中,企业的某些资源往往要求只允许某些人访问,有些资源甚至是机密的或安全敏感的。因此对企业中各种web资源进行访问控制是十分必要的。为了满足企业中的不同安全级别和客户化的需求,j2ee提供了三种基于web客户端的验证方式:
基于客户端证书的验证(Client-Certificate Authentication) 基于客户端证书的验证方式要比上面两种方式更安全。它通过HTTPS(HTTP over SSL)来保证验证的安全性。安全套接层(Secure Sockets Layer)为验证过程提供了数据加密,服务器端认证,信息真实性等方面的安全保证。在此验证方式中,客户端必须提供一个公钥证书,你可以把这个公钥证书看作是你的数字护照。公钥证书也称数字证书,它是被称作证书授权机构(CA)-一个被信任的组织颁发的。这个数字证书必须符合X509公钥体系结构(PKI)的标准。如果你指定了这种验证方式,Web服务器将使用客户端提供的数字证书来验证用户的身份。
b. 应用程序客户端的验证(Application Client User Authentication) java客户端程序是执行在用户本地java虚拟机上的java程序,它拥有main方法,通常由用户可通过java.exe或javaw.exe直接启动执行。J2ee应用程序客户端与java客户端程序相似,也拥有main方法,但他们在运行时存在一定的差别。J2ee应用程序客户端和其他j2ee组件一样运行在自己的容器中。用户通过容器来执行J2ee应用程序客户端。这样J2ee应用程序客户端容器就有机会在J2ee应用程序客户端被执行之前完成用户身份的验证。J2ee提供了一种可自定义的方式来获取用户的验证信息。可以选择使用容器提供的缺省的方式来获取j2ee应用客户端程序的用户的验证信息,也可以选择自定义的方式来获取用户的验证信息。当选择自定义方式时,应用程序开发者必须提供一个实现了javax.security.auth.callback.CallbackHandler interfce的类,并且在j2ee部署描述文件application-client.xml中的元素callback-handler中加入这个类的类名。这样,当系统需要验证用户身份时,客户端程序的容器将部署描述文件中的CallbackHandler实现类的类名传递给系统的登陆模块(验证模块),登陆模块再实例化这个实现类。这个类的实例负责收集用户验证信息,并将收集到的用户验证信息传递给登陆模块,登陆模块用这些验证信息来验证用户。这个实现类可以是具有用户界面的,或是通过要求用户输入来收集用户验证信息,也可以是通过命令行来获取用户验证信息,还可能是通过读取本地或在线的用户证书库来获取用户的电子证书。选取哪种方式取决于验证信息的存储方式。
Run As Identities J2ee 1.3中提供了允许组件开发者和部署这来指定组件以什么身份运行的方法。符合j2ee1.3规范的产品会提供将组件设置成Run As Identities方式的方法。如果Run As Identities方式被选中,在运行中被设置为Run As Identities的组件的调用者不再是调用链中第一个节点的调用者了,而是在部署时被指定的调用者。而调用链中随后节点的调用者也变为与被设置为Run As Identities的组件的调用者相同。
