weblogic中安全

February 20, 2006
weblogic中安全
站在weblogic的整个系统的上层考虑。
weblogic为安全认证提供了三种方式:
1.身份验证提供程序（Authentication Provider）,是一种基于用户名－密码组合形式的身份验证。程序提供框架严格遵循标准JAAS的身份验证规范。WebLogic要求至少在安全域中配置一个身份验证提供程序。
2.主体验证提供程序（Principal Validation Provider）是一种基于直接活通过HTTP服务器传送到WebLogic的数字证书的身份验证。客户端（可能是远程的）建立起与WebLogic的信任之后，在两次服务器调用之间，通过身份验证的主题是保存在客户端上的。Principal Validation Provider确保在两次调用之间的任何时间里，对于主题的主体不会出现什么有害行为。它是通过辨别和验证主题保存的主体的可靠性来做到这一点的。主体通过验证之后，Authorization Provider可以使用它们进行访问控制检查，或者Role Mapping Provider可以使用它们进行角色映射决策。安全域必须为每个Authentication Provider都定义一个Principal Validation Provider。
3.身份断言提供程序（Identity Assertion Provider）Identity Assertion Provider有助于保护对WebLogic部署的入口点的访问。外部客户端可以使用令牌来建立与WebLogic Server之间的信任，而不是使用用户名和密码。Identity Assertion Provider对令牌进行检查，如果成功就把它映射为合法的WebLogic用户。令牌被映射为合法用户之后，Authentication Provider就可以为该用户生成主体。这种机制称为周边身份验证（perimeter authentication），所以可以认为Identity Assertion Provider 是一类特殊的Authentication Provider。这里的关键在于外部代理负责对用户进行身份验证，然后负责把用户数据传送给WebLogic。
边身份验证的副作用是支持单点登录。例如，Identity Assertion Provider能够提供X.509数字证书作为身份令牌，而这些证书则可以跨多个系统使用。WebLogic支持的Identity Assertion Provider可以处理多种令牌类型（X.509，IIOP-CSIv2）。另外，还可以创建支持定制令牌类型的Identity Assertion Provider（比如Kerberos tickets）。Identity Assertion Provider可以有多种活动的令牌类型。然而，在一个提供程序中只能有一个令牌类型是活动的。当然，一个安全域可以支持多个Identity Assertion Provider，但一般不需要这么做。
在身份验证程序中提供了四种控制方式：
REQUIRED
这个选项是任意Authentication Provider的默认设置。一个必需的Authentication Provider始终会被调用，而不管其他提供程序上的控制标志设置如何。如果任何REQUIRED提供程序失败，总的身份验证就不会成功。因此，REQUIRED提供程序始终会被调用，如果其中任何一个失败，总的身份验证就会失败。
REQUISITE
这个选项还要求Authentication Provider在登录顺序期间成功。然而，所有REQUISITE提供程序不需要为了总的身份验证成功而被调用。如果一个REQUISITE提供程序成功，身份验证就会按照常规依序进行到其他提供程序。然而，如果它失败了，总的身份验证就不会成功，而且一旦登录顺序中的REQUIRED提供程序被调用，控制权就会马上传回给应用程序。
SUFFICIENT
这个选项不要求Authentication Provider在登录顺序期间成功。如果SUFFICIENT提供程序成功，总的身份验证会继续进行，确保在登录顺序中只有余下的SUFFICIENT提供程序被执行。然而，如果它失败了，总的身份验证就会按照常规依序进行到其他提供程序。
OPTIONAL
这个选项不要求Authentication Provider在登录顺序期间成功。不论OPTIONAL提供程序是否成功，身份验证都会继续进行到已被配置为登录顺序一部分的其他提供程序。