医学分类手机网站模版,网站建设经销商,聊城门户网站,公司开发网站建设价格新的安全性API 可能#xff0c;添加到Java EE 8中最重要的一项新功能就是新的安全性API。 此新API的主要动机是简化#xff0c;标准化和现代化跨容器和实现处理安全性问题的方式。 他们做得很好。 由于三个新的注释使web.xml文件声明变得多余#xff0c;Web身份验证的配置… 新的安全性API 可能添加到Java EE 8中最重要的一项新功能就是新的安全性API。 此新API的主要动机是简化标准化和现代化跨容器和实现处理安全性问题的方式。 他们做得很好。 由于三个新的注释使web.xml文件声明变得多余Web身份验证的配置已经实现了现代化。 新的Security Context API标准化了Servlet和EJB容器执行身份验证以及 新的Identity S 撕裂抽象以简化身份存储的使用。 现在让我们看看这些新功能中的第一个。 注释驱动的认证机制 此功能全部与配置Web安全有关。 web.xml文件中需要哪种传统的XML声明。 有了HttpAuthenticationMechanism接口该接口代表HTTP身份验证并带有三个内置的启用CDI的实现每个实现都可以表示可配置Web安全的三种方式之一因此不再需要此操作。 使用这些注释之一触发它们。 BasicAuthenticationMechanismDefinition
FormAuthenticationMechanismDefinition
CustomFormAuthenticationMechanismDefinition 它们复制了servlet容器中已经可用的经典HTTP基本身份验证表单和基于自定义表单的身份验证的功能。 例如要启用基本身份验证 仅需向您的servlet添加BasicAuthenticationMechanismDefinition批注即可。 BasicAuthenticationMechanismDefinition(realmName${user-realm})
WebServlet(/user)
DeclareRoles({ admin, user, demo })
ServletSecurity(HttpConstraint(rolesAllowed user))
public class UserServlet extends HttpServlet { … } 现在您可以放弃XML配置并使用这些新注释之一来提高Web安全性。 安全API的下一个重要功能是身份存储抽象。 身份存储抽象 身份存储是一个数据库用于存储用户标识数据例如用户名组成员身份以及用于验证凭据的信息。 新的Java EE安全API提供了一个称为IdentityStore的身份存储抽象该身份存储抽象用于与身份存储交互以认证用户并检索组成员身份类似于JAAS LoginModule接口。 HttpAuthenticationMechanism实现旨在使用IdentityStore 但这不是必需的 。 IdentityStore可以独立存在并且可以由应用程序开发人员希望的任何其他身份验证机制使用。 尽管如此 IdentityStore和HttpAuthenticationMechanism的共同使用使应用程序能够以可移植的标准方式控制用于身份验证的身份存储这是大多数用例场景的推荐方式。 现在您可以通过实现IdentityStore接口来实现自己的身份存储或者可以将内置的IdentityStore实现之一用于LDAP和关系数据库。 通过将配置详细信息传递给适当的注释LdapIdentityStoreDefinition或DataBaseIdentityStoreDefinition来初始化它们。 让我们看一下内置身份存储的用法。 最简单的身份存储是数据库存储。 它通过DataBaseIdentityStoreDefinition批注进行配置如下所示。 DatabaseIdentityStoreDefinition(dataSourceLookup ${java:global/permissions_db},callerQuery #{select password from caller where name ?},groupsQuery select group_name from caller_groups where caller_name ?,hashAlgorithm PasswordHash.class,priority 10
)
ApplicationScoped
Named
public class ApplicationConfig { ... } 配置选项非常容易解释如果您已经配置了数据库定义则应该熟悉它们。 但是请注意将优先级设置为10在运行时找到多个标识存储库并确定相对于其他存储库的迭代顺序时使用。 数字越小优先级越高。 现在让我们看一下安全性API的最终新功能。 安全上下文 安全上下文的目标是在Servlet和EJB容器之间提供对安全上下文的一致访问。 当前这些容器不一致地实现了安全上下文对象。 例如servlet容器提供一个HttpServletRequest实例在该实例上调用getUserPrincipal方法以获得用户Principal 而EJB容器提供一个不同名称的EJBContext实例在该实例上调用相同的命名方法。 同样地以测试用户是否属于某个角色的方法isUserRole调用HttpServletRequest的实例和isCallerInRole被调用上EJBContext的实例。 SecurityContext在Servlet和EJB容器之间提供一致性以获取此类信息。 它有五个方法没有一个具有默认实现。 委托人getCallerPrincipal; 返回表示当前经过身份验证的用户名的特定于平台的主体如果当前调用方未经过身份验证则返回null。 T扩展Principal Set T getPrincipalsByTypeClass T pType; 从经过身份验证的调用者的Subject返回给定类型的所有Principal 否则如果未找到pType类型或当前用户未经过身份验证则返回一个空Set 。 boolean isCallerInRoleString role; 确定呼叫者是否包含在指定角色中否则如果用户未被授权则返回false。 boolean hasAccessToWebResourceString resourceString…方法; 确定调用者是否可以通过提供的方法访问给定的Web资源。 AuthenticationStatus authenticateHttpServletRequest reqHttpServletResponse resAuthenticationParameters param; 通知容器它应该开始或继续与调用方进行基于HTTP的身份验证对话。 由于此方法依赖于HttpServletRequest和HttpServletResponse实例因此只能在servlet容器中使用。 安全上下文是一个CDI bean因此可以注入到servlet和EJB容器中的任何类中。 Inject
private SecurityContext securityContext; 有了SecurityContext实例您可以调用任何方法来访问对上下文敏感的安全信息。 boolean hasAccess securityContext .hasAccessToWebResource(/secretServlet, GET); 现在结束了对安全性API的概述对安全性API有更多的了解。 翻译自: https://www.javacodegeeks.com/2018/04/java-ee-8-security-api-overview.html
