jaas授权类

A. 谁能提供给我weblogic上跑jaas的实例

这有个 jaas tomcat的实例， 先看下吧：
准备文件和目录
创建文件login.jsp和error.jsp
login.jsp的内容
<html>
<head>
<meta HTTP-EQUIV="Content-Type" Content="text-html; charset=gbk">
<title>login</title>
</head>
<body>
<form method="POST" action="j_security_check">
姓名：<input type="text" name="j_username"/>
<br/>
密码：<input type="password" name="j_password"/>
<br/>
<input type="submit" value="提交"/>
</form>
</body>
</html>

在根目录下创建目录web，在新建的目录下创建一个文件index.jsp，内容如下
<html>
<head>
<meta http-equiv="Content-Type"
content="text/html; charset=GBK">
<title>Apache-Axis</title>
</head>
<body bgcolor="#FFFFFF">
request.FORM_AUTH:<%=request.FORM_AUTH%><br/>
request.getRemoteUser():<%=request.getRemoteUser()%><br/>
</body>
</html>

设置配置文件
在web.xml中添加以下内容
<web-app>
...
<security-constraint>
<!-- Sample Security Constraint -->
<web-resource-collection>
<!-- We're going to protect this resource and make it available only to users in "role1". -->
<web-resource-name>protected-resources</web-resource-name>
<url-pattern>/web/*</url-pattern>
<http-method>HEAD</http-method>
<http-method>GET</http-method>
<http-method>POST</http-method>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
</web-resource-collection>
<!-- NOTE: This role names will be retrieved by Josso using the propper identity store. -->
<auth-constraint>
<role-name>role1</role-name>
</auth-constraint>
<user-data-constraint>
<transport-guarantee>NONE</transport-guarantee>
</user-data-constraint>
</security-constraint>

<login-config>
<auth-method>FORM</auth-method>
<form-login-config>
<form-login-page>/login.jsp</form-login-page>
<form-error-page>/error.jsp</form-error-page>
</form-login-config>
</login-config>

<security-role >
<description>Role 1</description>
<role-name>role1</role-name>
</security-role>
</web-app>
测试
打开tomcat目录下的conf/tomcat-users.xml文件，内容如下
<?xml version='1.0' encoding='utf-8'?>
<tomcat-users>
<role rolename="tomcat"/>
<role rolename="role1"/>
<user username="tomcat" password="tomcat" roles="tomcat"/>
<user username="role1" password="tomcat" roles="role1"/>
<user username="both" password="tomcat" roles="tomcat,role1"/>
</tomcat-users>

启动tomcat,在浏览器中输入地址http://localhost:8080/hello/web/,显示的内容不是/web/index.html，而是login.jsp的内容，输入both或者role1的用户名和密码，将会看到web/index.html的内容，当然，如果输入错误，则会提示错误信息。验证通过后，我们可以看到如下内容：
request.FORM_AUTH:FORM
request.getRemoteUser():both? //用户名

sun公司也有提供了一个关于JAAS的实例，可供实际分析JAAS使用原理，本人在网上找了许久这方面的文章，希望对你有帮助。

1、首先下载实例代码

http://java.sun.com/j2se/1.4.2/docs/guide/security/jaas/tutorials/sample_jaas.config
http://java.sun.com/j2se/1.4.2/docs/guide/security/jaas/tutorials/SampleAcn.java
http://java.sun.com/j2se/1.4.2/docs/guide/security/jaas/tutorials/SampleLoginMole.java
http://java.sun.com/j2se/1.4.2/docs/guide/security/jaas/tutorials/SamplePrincipal.java
http://java.sun.com/j2se/1.4.2/docs/guide/security/jaas/tutorials/sampleacn.policy

2、SampleAcn.java 放在 sample 目录中, SampleLoginMole.java 放在 sample/mole 之下, 而 SamplePricipal 放在 sample/principal 之下。

3、将 config 和 policy 配置文件放到项目的根目录中，切记，否则无法找到此文件。

4、将所有文件编译后执行以下命令

java -Djava.security.auth.login.config==sample_jaas.config sample.SampleAcn

如果使用Eclipse则在Run... SampleAcn.java 类时把-Djava.security.auth.login.config==sample_jaas.config 参数填写入Arguments标签页面的VM arguments框中。

5、此时在控制台显示要求用户输入user name:和password:，分别输入testUser和testPassword即可验证通过。

至于Jaas原理，有时间可以研究一下源代码即可。

B. J2EE是什么意思啊

j2ee 也叫 javaee 是企业标准版主要用于网页后台一些逻辑判断数据传输。Java EE 是 J2EE的一个新的名称，之所以改名，目的还是让大家清楚J2EE只是Java企业应用。

在2004年底中国软件技术大会Ioc微容器（也就是Jdon框架的实现原理）演讲中指出：

我们需要一个跨J2SE/WEB/EJB的微容器，保护我们的业务核心组件（中间件），以延续它的生命力，而不是依赖J2SE/J2EE版本。

(2)jaas授权类扩展阅读：

核心优势：

J2EE容易让初学者误解是独立于一套Java的技术方案。

从更深层次来看，Java诞生十年，多年前的业务组件还可以使用，软件应用不再由于语言的更迭革命带来毁灭的打击了。

当然，Java EE 5重要改变还是：Java EE不再象以前那样只注重大型商业系统的开发，而是更关注小到中型系统的开发，简化这部分系统开发步骤。

落实这一简化行动的最大特征是在Java 5.0(Java 1.5)中加入Annotations，通过Annotations引入，降低Java EE开发时，既要写code，又要写XML配置文件之苦。

来回照顾，疲于奔命，Annotations既是得益于C++语言，也是从开源项目xDoclet实践中获得经验。

但是Annotations是一把双刃剑，初学者用得不好，将会使得原本在XML中的Hard code（硬编码） 写进入代码Annotations，破坏代码的简洁和灵活性，

当然，Annotations的引入不只是解决XML配置，从大的概念说，是解决一个资源注射问题(XML属于其中一个资源)，在原理J2EE中，容器管理的资源都是由JNDI向应用程序提供的，通过Annotations可以方便实现注射。

C. 如何利用JAAS实现一个认证授权的例子

Kerberos已经配置完成。

在java测试程序中设置Kerberos的相关属性
Properties props = new Properties();
props.load(new FileInputStream("client.properties"));
System.setProperty("sun.security.krb5.debug", "true");
System.setProperty("java.security.krb5.realm",
props.getProperty("realm"));
System.setProperty("java.security.krb5.kdc",
props.getProperty("kdc"));
client.properties具体内容如下所示：

设置登录Kerberos使用的配置文件和用到的用户名和密码
System.setProperty("java.security.auth.login.config", "./jaas.conf");
System.setProperty("javax.security.auth.useSubjectCredsOnly",
"false");
String username = props.getProperty("client.principal.name");
String password = props.getProperty("client.password");
jaas.conf配置文件如下所示：主要看此文件Client备份配置内容，可以看到jaas登录使用的是Krb5LoginMole模式

使用LoginContext类完成认证。此时的关键参数为用户名和密码。

使用LoginContext类进行认证时，调用了回调类LoginCallbackHandler。此类主要是对用户名和密码的处理。

认证通过后获取一个subject。获取subject后就可通过此授权进行相关操作了。

D. jaas授权类中，不包含以下哪一类

Windows XP用户帐户来管理与权限设置自 1:标准用户 该用户可修改大部分计算机设制,安装不修改操作系统文件且不需要安装系统服务的应用程序,创建和管理本地用户帐户和组,启动或停止默认情况下不启动 的服务,但不可访问NTFS分区上属于其他用户的私有文...

E. jaas干嘛的

Java Authentication Authorization Service（JAAS，Java验证和授权API）提供了灵活和可伸缩的机制来保证客户端或服务器端的Java程序内。Java早期的安全框架强调的是通过验容证代码的来源和作者，保护用户避免受到下载下来的代码的攻击。JAAS强调的是通过验证谁在运行代码以及他／她的权限来保护系统面受用户的攻击。它让你能够将一些标准的安全机制，例如Solaris NIS（网络信息服务）、Windows NT、LDAP（轻量目录存取协议），Kerberos等通过一种通用的，可配置的方式集成到系统中。

F. 什么是JAAS以及灵活的Java安全机制

JAAS：是通过验证谁 Java Authentication Authorization Service(JAAS，Java验证和授权API)提供灵活和可伸缩的机制来保证回客户端或服答务器端的Java程序。JAAS强调的是通过验证谁在运行代码以及他/她的权限来保护系统面受用户的攻击。
Java的安全模式包括3层：Java语言本身，java编译器和run-time系统，SecurityManager类。
在语言层，java以不同的方式来实现它的安全性，什么原始类型的大小，对象的指针和伪访问将不再呗允许，数组辩解检查等待。
在java编译器和run-time系统安全层提供了必要的功能，以确保java系统不会因无效代码而崩溃，它提供了一个简单的由一下三个子层所组成的安全的运行环境：
1：java字节代码解释器和类格式检验
2：一个在运行时动态装载和检查库的机制
3：自动的垃圾回收机制、

G. 什么是JAAS，以及灵活的Java安全

Java Authentication Authorization Service(JAAS，Java验证和授权)提供了灵活和可伸缩的机制来保证客户端或服务器端的Java程序。Java早期的安全框架强调的是通过验证代码的来源和作者，保护用户避免受到下载下来的代码的攻击。JAAS强调的是通过验证谁在运行代码以及他/她的权限来保护系统面受用户的攻击。它让你能够将一些标准的安全机制，例如Solaris NIS(网络信息服务)、Windows NT、LDAP(轻量目录存取协议)，Kerberos等通过一种通用的，可配置的方式集成到系统中。
你是否曾经需要为一个应用程序实现登录模块呢?如果你是一个比较有经验的程序员，相信你这样的工作做过很多次，而且每次都不完全一样。你有可能把你的登录模块建立在Oracle数据库的基础上，也有可能使用的是NT的用户验证，或者使用的是LDAP目录。如果有一种方法可以在不改变应用程序级的代码的基础上支持上面提到的所有这一些安全机制，对于程序员来说一定是一件幸运的事。
现在你可以使用JAAS实现上面的目标。JAAS是一个比较新的的Java API。在J2SE 1.3中，它是一个扩展包;在J2SE 1.4中变成了一个核心包。在本文中，我们将介绍JAAS的一些核心概念，然后通过例子说明如何将JAAS应用到实际的程序中。本文的例子是根据我们一个基于Web的Java应用程序进行改编的，在这个例子中，我们使用了关系数据库保存用户的登录信息。由于使用了JAAS，我们实现了一个健壮而灵活的登录和身份验证模块。
客户端和服务器端的JAAS
开发人员可以将JAAS应用到客户端和服务器端。在客户端使用JAAS很简单。在服务器端使用JAAS时情况要复杂一些。目前在应用服务器市场中的JAAS产品还不是很一致，使用JAAS的J2EE应用服务器有一些细微的差别。例如JBossSx使用自己的结构，将JAAS集成到了一个更大的安全框架中;而虽然WebLogic 6.x也使用了JAAS，安全框架却完全不一样。
现在你能够理解为什么我们需要从客户端和服务器端的角度来看JAAS了。我们将在后面列出两种情况下的例子。为了使服务器端的例子程序更加简单，我们使用了Resin应用服务器。
核心JAAS类
在使用JAAS之前，你首先需要安装JAAS。在J2SE 1.4中已经包括了JAAS，但是在J2SE 1.3中没有。如果你希望使用J2SE 1.3，你可以从SUN的官方站点上下载JAAS。当正确安装了JAAS后，你会在安装目录的lib目录下找到jaas.jar。你需要将该路径加入Classpath中。(注：如果你安装了应用服务器，其中就已经包括了JAAS，请阅读应用服务器的帮助文档以获得更详细的信息)。在Java安全属性文件java.security中，你可以改变一些与JAAS相关的系统属性。该文件保存在/lib/security目录中。
在应用程序中使用JAAS验证通常会涉及到以下几个步骤：
1. 创建一个LoginContext的实例。
2. 为了能够获得和处理验证信息，将一个CallBackHandler对象作为参数传送给LoginContext。
3. 通过调用LoginContext的login()方法来进行验证。
4. 通过使用login()方法返回的Subject对象实现一些特殊的功能(假设登录成功)。
下面是一个简单的例子：
LoginContext lc = new LoginContext("MyExample");
try {
lc.login();
} catch (LoginException) {
// Authentication failed.
}
// Authentication successful, we can now continue.
// We can use the returned Subject if we like.
Subject sub = lc.getSubject();
Subject.doAs(sub, new MyPrivilegedAction());
在运行这段代码时，后台进行了以下的工作。
1. 当初始化时，LoginContext对象首先在JAAS配置文件中找到MyExample项，然后更具该项的内容决定该加载哪个LoginMole对象。
2. 在登录时，LoginContext对象调用每个LoginMole对象的login()方法。
3. 每个login()方法进行验证操作或获得一个CallbackHandle对象。
4. CallbackHandle对象通过使用一个或多个CallBack方法同用户进行交互，获得用户输入。
5. 向一个新的Subject对象中填入验证信息。
我们将对代码作进一步的解释。但是在这之前，让我们先看代码中涉及到的核心JAAS类和接口。这些类可以被分为三种类型：
普通类型 Subject，Principal，凭证
验证 LoginContext，LoginMole，CallBackHandler，Callback
授权 Policy，AuthPermission，PrivateCredentialPermission
上面列举的类和接口大多数都在javax.security.auth包中。在J2SE 1.4中，还有一些接口的实现类在com.sun.security.auth包中。
普通类型：Subject，Principal，凭证 Subject类代表了一个验证实体，它可以是用户、管理员、Web服务，设备或者其他的过程。该类包含了三中类型的安全信息： 身份(Identities)：由一个或多个Principal对象表示 公共凭证(Public credentials)：例如名称或公共秘钥 私有凭证(Private credentials)：例如口令或私有密钥 Principal对象代表了Subject对象的身份。它们实现了java.security.Principal和java.io.Serializable接口。在Subject类中，最重要的方法是getName()。该方法返回一个身份名称。在Subject对象中包含了多个Principal对象，因此它可以拥有多个名称。由于登录名称、身份证号和Email地址都可以作为用户的身份标识，可见拥有多个身份名称的情况在实际应用中是非常普遍的情况。 在上面提到的凭证并不是一个特定的类或借口，它可以是任何对象。凭证中可以包含任何特定安全系统需要的验证信息，例如标签(ticket)，密钥或口令。Subject对象中维护着一组特定的私有和公有的凭证，这些凭证可以通过getPrivateCredentials()和getPublicCredentials()方法获得。这些方法通常在应用程序层中的安全子系统被调用。 验证：LoginContext 在应用程序层中，你可以使用LoginContext对象来验证Subject对象。LoginContext对象同时体现了JAAS的动态可插入性(Dynamic Pluggability)，因为当你创建一个LoginContext的实例时，你需要指定一个配置。LoginContext通常从一个文本文件中加载配置信息，这些配置信息告诉LoginContext对象在登录时使用哪一个LoginMole对象。 下面列出了在LoginContext中经常使用的三个方法： login () 进行登录操作。该方法激活了配置中制定的所有LoginMole对象。如果成功，它将创建一个经过了验证的Subject对象;否则抛出LoginException异常。 getSubject () 返回经过验证的Subject对象 logout () 注销Subject对象，删除与之相关的Principal对象和凭证 验证：LoginMole LoginMole是调用特定验证机制的接口。J2EE 1.4中包含了下面几种LoginMole的实现类： JndiLoginMole 用于验证在JNDI中配置的目录服务 Krb5LoginMole 使用Kerberos协议进行验证 NTLoginMol 使用当前用户在NT中的用户信息进行验证 UnixLoginMole 使用当前用户在Unix中的用户信息进行验证 同上面这些模块绑定在一起的还有对应的Principal接口的实现类，例如NTDomainPrincipal和UnixPrincipal。这些类在com.sun.security.auth包中。 LoginMole接口中包含了五个方法： initialize () 当创建一LoginMole实例时会被构造函数调用 login () 进行验证 commit () 当LgoninContext对象接受所有LoginMole对象传回的结果后将调用该方法。该方法将Principal对象和凭证赋给Subject对象。 abort () 当任何一个LoginMole对象验证失败时都会调用该方法。此时没有任何Principal对象或凭证关联到Subject对象上。 logout () 删除与Subject对象关联的Principal对象和凭证。 在应用程序的代码中，程序员通常不会直接调用上面列出的方法，而是通过LigonContext间接调用这些方法。 验证：CallbackHandler和Callback CallbackHandler和Callback对象可以使LoginMole对象从系统和用户那里收集必要的验证信息，同时独立于实际的收集信息时发生的交互过程。 JAAS在javax.sevurity.auth.callback包中包含了七个Callback的实现类和两个CallbackHandler的实现类： ChoiceCallback、ConfirmationCallback、LogcaleCallback、NameCallback、PasswordCallback、TextInputCallback、TextOutputCallback、DialogCallbackHandler和TextCallBackHandler。Callback接口只会在客户端会被使用到。

H. 如何用JAVA实现CA认证

by fleshwound (http://www.smatrix.org)
(注：这是我们的完整设计中的一部分，其它有些部分尚要求保密，希望这个拙文能给做J2EE项目的兄弟们带来点帮助,有任何关于JAVA安全和密码学理论和应用的问题可以来我们的论坛:http://bbs.smatrix.org)
近年来，随着互连网和计算机的普及，电子商务和电子政务成为当今社会生活的重要组成部分，以网上订购和网上在线支付的为主要功能的网店系统(Web Shop System)是目前电子商务的热门技术。
JAVA以它“一次编译，处处运行”的神奇魅力和强大的安全技术支持，很快成为WEB信息系统开发的首选语言，而J2EE就是为了WEB应用开发而诞生的。目前J2EE的应用大部份都是多层结构的, 良好的分层可以带来很多好处，例如可以使得代码结构清晰，方便组件复用，可以快速适应应用的新需求。同时，JAVA还提供了强大的安全技术(例如:JCA,HTTPS,JSSA等)。对于电子商务系统而言,系统平台的安全性和效率是其中的核心问题,而这些正好是J2EE及其相关技术的强项。

0 系统中所要使用的API及其特点介绍
该系统中主要使用的技术和特点如下:
(1)EJB :主要是作为J2EE中间层，完成商业逻辑。目前主要有三种类型的EJB: 会话 Bean (Session Bean)、实体Bean (Entity Bean)、消息驱动的Bean（MDB）；
(2)JAAS:在J2EE 中用于处理认证和授权服务，进行资源控制；
(3)JSP和Java Servlets:用于J2EE的表示层，生成用户界面；
(4)JDBC:用于数据库（资源层）的连接和与数据库进行交互；
(5)JNDI:Java命名和目录接口,该API实际上是用来访问J2EE的所有资源；
(6)JMS:Java消息传输服务，配合MDB使用。

1 Session的安全问题与解决方案
在项目中,保存Session一般有两种方法，一是分别放在客户端，一是集中放在服务器端。在客户端保存Session是指将Session的状态串行化，然后嵌入到返回给客户的HTML页面中。当Session中的信息很少时，这样实现比较容易，另外这种方法还消除了跨越多个服务器复制状态的问题。
但是在客户端保存Session状态时，必须考虑到由此带来的安全问题，因为黑客可能通过嗅探攻击（Sniffer）获取敏感信息。为了不让敏感信息数据暴露，解决的方法是对数据进行加密或者使用HTTPS，采用SSL技术。
如果是要保存大量Session状态的应用，最好的方法是将Session状态统一放在服务器端。当状态被保存在服务器上时，不会有客户端Session管理的大小和类型限制。此外，还避免了由此带来的安全问题，而且也不会遇到由于在每个请求间传送Session状态带来的性能影响，但是对服务器的性能要求比较高。网店系统的安全性要求较高，因此Session还是集中放在中间层服务器端,同时对客户端到服务器端采用SSL连接。
2客户端的缓存安全设计
大部分顾客使用的WEB浏览器将浏览过的页面缓存在磁盘上，这样我们浏览网页的时候不需要重新向服务器发出HTTP请求，对于普通的网页不存在安全问题。但是对于需要保密的WEB应用，会带来安全隐患和泄漏隐私，因此对于客户端缓存，也必须做适当的处理。最好的方法就是禁止使用缓存，但是对于大部分顾客而言，要求在客户端不用缓存是不现实的，因此我们必须在中间层解决该问题，方法是采用Servlet过滤器技术。该技术是Servlet2.3以后才出现的，在J2EE中的应用很广泛。要使用该技术，需要执行以下步骤：
（1） 编写一个Servlet过滤器，实现javax.servlet.Filter接口；
（2） 修改Web.xml文件，使容器知道过滤器在什么时候被调用。
Javax.servlet.Filter主要有3个方法：
(1)init(FilterConfig cfg) :当开始使用 servlet 过滤器服务时，容器调用此方法一次。传送给此方法的 FilterConfig 参数包含 servlet 过滤器的初始化参数；
(2)destroy() :当不再使用 servlet 过滤器服务时，容器调用此方法；
(3)doFilter(ServletRequest req, ServletResponse res, FilterChain chain): 容器为每个映射至此过滤器的 servlet 请求调用此方法，然后才调用该 servlet 本身。传送至此方法的 FilterChain 参数可用来调用过滤器链中的下一个过滤器。当链中的最后一个过滤器调用 chain.doFilter() 方法时，将运行最初请求的 servlet。因此，所有过滤器都应该调用 chain.doFilter() 方法。如果过滤器代码中的附加认证检查导致故障，则不需要将原始 servlet 实例化。在这种情况下，不需要调用 chain.doFilter() 方法，相反，可将其重定向至其它一些错误页面。
如果 servlet 映射至许多 servlet 过滤器，则按照应用程序的部署描述符（web.xml）中的先后出现的次序来调用 servlet 过滤器。这一部分的主要代码如下：
//要引入的类库
import javax.servlet.*;
import javax.servlet.http.HttpServletResponse;
import java.io.*;
import java.security.*;
//设置servlet过滤代码段
public class CacheFilter implements Filter {
protected FilterConfig filterConfig;
private String cachetp;
//初始化
public void init(FilterConfig filterConfig) throws ServletException
{
this.filterConfig = filterConfig;
cachetp=config.getInitParameter("CacheControlType");
if (cachetp==null)
{
throw new ServletException("没有定义Cache控制类型");
}
}
//
public void destroy()
{
this.filterConfig = null;
}
//执行过滤器部分
public void doFilter(ServletRequest request,ServletResponse response,FilterChain chain)
throws IOException, ServletException {
if (response instanceof HttpServletResponse )
{
HttpServletResponse resp=(HttpServletResponse) response;
resp.addHeader("Cache-Control",cachetp);
}
else
{
throw new ServletException("非法相应!");
}
chain.doFilter(request, response);
}

}
以下是在Web.xml中添加的对应的内容

CacheFilter
CacheFilter
Cache filter

CacheControlType
no-store

CacheFilter
/cachecontrol

3视图访问的安全设置
所有用户都必须登陆，只有登陆才可以看到用户的角色和权限相对应的视图。因此一个重要的问题就是如何防止一个视图或者部分的视图被一个未被授权的客户直接访问。
在一些情况下，资源被限制为完全不允许某些用户访问,例如：管理后台就不应该让普通顾客会员访问。有几个方法可以做到这一点。一个方法是加入应用逻辑到处理控制器或者视图的程序中，禁止某些用户访问。另一个方案是设置运行时的系统，对于一些资源，仅允许经由另一个应用资源内部调用。在这种情形，对于这些资源的访问必须被通过另一个表现层的应用资源进行，例如一个servlet控制器。对于这些受限制的资源不允许通过浏览器直接调用。
在J2EE中，可以利用Web容器中内置的安全技术来进行角色访问资源的控制。根据最新版本的servlet和EJB规范，安全限制在web.xml的配置描述文件中描述，我们可以通过配置web.xml来控制角色访问，修改配置描述文件web.xml就可以达到快速修改安全策略的目的。
安全限制允许使用编程的方法根据用户的角色来控制访问。资源可以被某些角色的用户访问，同时禁止其它的角色访问。另外，某个视图的一部分也可以根据用户的角色来限制其访问。如果某些资源完全不允许来自于浏览器的直接访问，那么这些资源可以配置只允许一些特殊的安全角色访问，而这些安全角色不分配给任何一个用户。这样只要不分配这个安全角色，那么以这种方式配置的资源将禁止所有的浏览器直接访问。下面一个例子就是web.xml配置文件的一部分，它定义了一个安全的角色以限制直接的浏览器访问。角色的名字是“vip”，受限制资源的名字是specialgood1.jsp、specialgood2.jsp、specialgood3.jsp和bookinfo.jsp。除非一个用户或者组被分配到“vip”角色，否则这些客户都不可以直接访问这些JSP页面。不过，由于内部的请求并不受这些安全的限制，一个初始时由某servlet控制器处理的请求将会导向到这些受限制的页面，这样它们就可以间接访问这些JSP页面。
＜security-constraint＞
＜web-resource-collection＞
＜web-resource-name＞specialgood ＜/web-resource-name＞
＜description＞special good infomation＜/description＞
＜url-pattern＞/shop/jsp/a1/specialgood1.jsp＜/url-pattern＞
＜url-pattern＞/shop/jsp/a1/specialgood2.jsp＜/url-pattern＞
＜url-pattern＞/shop/jsp/a1/specialgood3.jsp＜/url-pattern＞
＜url-pattern＞/shop/jsp/a1/bookinfo.jsp＜/url-pattern＞
＜http-method＞GET＜/http-method＞
＜http-method＞POST＜/http-method＞
＜/web-resource-collection＞
＜auth-constraint＞
＜role-name＞vip＜/role-name＞
＜/auth-constraint＞
＜/security-constraint＞
3 各层次间的耦合问题与解决策略
表现层的数据结构，例如HttpServletRequest，应该被限制在表现层上。如果将这些细节放到其它层(主要是业务逻辑层)中，将大大降低了代码的的重用性，令代码变得复杂，并且增加了层间的耦合。解决方法一个常用方法是不让表现层的数据结构和商业层共享，而是拷贝相关的状态到一个更常见的数据结构中再共享。你也可以选择由表现层数据结构中将相关的状态分离出来，作为独立的参数共享。另外在域对象暴露表现层的数据结构，如果将诸如HttpServletRequest的请求处理数据结构和域对象共享，这样做也会增加了应用中两个不同方面的耦合。域对象应该是可重用的组件，如果它们的实现依赖协议或者层相关的细节，它们可重用性就很差，同时维护和调试高耦合的应用更加困难。成熟的解决方案是不通过传送一个HttpServletRequest对象作为一个参数，而是拷贝request对象的状态到一个更为常用的数据结构中，并且将这个对象共享给域对象。你也可以选择由HttpServletRequest对象中将相关的状态分离出来，并且将每一个的状态作为一个独立的参数提供给域对象。
4 EJB的安全设计与控制
EJB的执行过程一般是这样的：(1)客户端通过JNDI检索Home对象的引用；(2)JNDI返回Home对象的引用；(3)请求创建一个新的EJB对象；(4)创建EJB对象；(5)返回EJB对象；(6)调用商务方法；(7)调用Enterprise Bean.引起EJB的安全问题原因主要存在三个方面:
(1)用包嗅探器(Packet Sniffer)获取用户凭证信息并直接调用会话Bean；（2）对实体Bean进行未授权访问；（3）对消息驱动的Bean的无效访问(发布恶意或者虚假的消息).
以上安全问题可导致客户端或者服务端欺骗攻击和DDOS攻击。解决问题(1)的方法是使用JAVA中SSL技术来保护通讯，解决(2)的方法是对于实体Bean全部采用本地接口或者采用JAAS(文献[1])，对于(1)和(2)，我们可以同时采取以下措施：让容器完成认证并传输用户凭证信息,另外使用声明性或者程序设计的安全验证角色。对于问题(3),J2EE并没有提供一个很好的方案，我们的解决方案是采用数字签名技术来保证信息来自可信任的源。该方法的结合代码简要说明如下,消息采用JMS传递：
//客户端，要用到消息发送者的私钥进行签名
...
message.setString("userid",userid);
message.setString("useritem",useritem);
message.setInt("usersn",serialnum);//包含一个序列号
message.setString("usercertid",certid);
String signature=getSignature(userid+":"+useritem+":"+serialnum+":"+certid);
//进行签名,其中getSignature为签名函数，要用到消息发送者的私钥进行签名，具体密码学技术可参考文献[2]；
message.setString("signature",signature);
sendmessage(message);//发送信息
...
//服务器端
String checkstr=userid+":"+message.getString("useritem")+":"+
message.getInt("usersn")+":"+usercertid;
boolean b_check=checkSignature(checkstr,msg.getString("signature"),
usercertid,userid);
//进行验证,其中checkSignature为验证函数，要用到消息发送者的公钥进行验证，具体密码学技术可参考文献[2]；
5 CA中心与证书的生成
前面我们已经提出在客户端要使用HTTPS和SSL,因此要建立一个自己的CA中心来管理分发证书,加强客户端到中间层服务器端通讯的安全性.建立CA中心的第一步是利用JAVA工具包中的Keytool生成一个X509证书,然后将该证书交由权威CA中心Vertsign签名,再将该证书设置为根证书,建立自己的CA.每次有新用户注册交易的时候，都必须签发一个用户独一无二的证书，关键的过程是如何签发证书.签发证书的过程如下：
(1)从中间层CA服务器的密钥库中读取CA的证书：
FileInputStream in=new FileInputStream(ShopCAstorename);
KeyStore ks=KeyStore.getInstance("JKS");
ks.load(in,storepass);
java.security.cert.Certificate c1=ks.getCertificate(alias);
(2)获得CA的私钥：
PrivateKey caprk=(PrivateKey)ks.getKey(alias,cakeypass);
(3)从CA的证书中提取签发者信息：
byte[] encod1=c1.getEncoded();
X509CertImpl shopcimp1=new X509CertImpl(encod1);
X509CertInfo shopcinfo1=(X509CertInfo)shopcimp1.get(X509CertImpl.NAME+
"."+X509CertImpl.INFO);
X500Name issuer=(X500Name)shopcinfo1.get(X509CertInfo.SUBJECT+
"."+CertificateIssuerName.DN_NAME);
(4)获取待签发的证书相关信息，与（3）类似；
(5)设置新证书的有效期、序列号、签发者和签名算法：
//设置新证书有效期为1年
Date begindate =new Date();
Date enddate =new Date(begindate.getTime()+3000*24*360*60*1000L); CertificateValidity cv=new CertificateValidity(begindate,enddate);
cinfo2.set(X509CertInfo.VALIDITY,cv);
//设置新证书序列号
int sn=(int)(begindate.getTime()/1000);
CertificateSerialNumber csn=new CertificateSerialNumber(sn);
cinfo2.set(X509CertInfo.SERIAL_NUMBER,csn);
//设置新证书签发者
cinfo2.set(X509CertInfo.ISSUER+"."+
CertificateIssuerName.DN_NAME,issuer);
//设置新证书算法
AlgorithmId algorithm =
new AlgorithmId(AlgorithmId.md5WithRSAEncryption_oid);
cinfo2.set(CertificateAlgorithmId.NAME+
"."+CertificateAlgorithmId.ALGORITHM, algorithm);
(6)创建证书并签发：
// 创建证书
X509CertImpl newcert=new X509CertImpl(cinfo2);
// 签名
newcert.sign(caprk,"MD5WithRSA");
(7)将新证书提供给注册用户，并提示安装,一般的做法是在用户注册成功后系统立即返回一个证书对象给中间层某个Servlet，由其返回给用户。
参考文献
[1]沈耀,陈昊鹏,李新颜.EJB容器中基于JAAS 的安全机制的实现.[J]:计算机应用与软件 2004.9 16~18
[2](美)Jess Garms著，庞南等译. Java安全性编程指南[M].北京:电子工业出版社 2002
[3] http://java.sun.com/j2ee/
[4] 蔡剑,景楠. Java 网络程序设计：J2EE（含1.4最新功能）[M].北京: 清华大学出版社 2003
[5](美)John Bell Tony Loton. Java Servlets 2.3编程指南[M].北京: 电子工业出版社 2002
[6](美)Joseph J.Bambara等著,刘堃等译. J2EE技术内幕[M].北京:机械工业出版社 2002
[7](美)Li Gong著.JAVA 2平台安全技术——结构、API设计和实现[M].北京: 机械工业出版社 2000
[8](英)Danny Ayers等著,曾国平等译. Java服务器高级编程[M].北京：机械工业出版社 2005
[9]http://www.smatrix.org/bbs
[10]http://www.smatrix.cn/bbs

I. java授权文件的实现机制是什么

看 “java.io.File” 的一个 createNewFile 方法。
它先检查权限，然后才开始执行操作。
这个授权的配置是通过命令行参数 java.exe -Djava.security.policy=aaa.policy 来启用的。这里面应该包括关于 File 的权限才能让这段代码工作，否则得到的是 PermissionException。
编写权限 policy 文件的话可以使用 %JDK%/bin/policytool.exe。

从这个代码中看来，如果你也希望提供自己的权限类型，你也可以这么在代码中写上。不过基本上如果这个代码本身没有先检查权限的话，这种授权也无法实现。

public boolean createNewFile() throws IOException {
SecurityManager security = System.getSecurityManager();
if (security != null) security.checkWrite(path);
return fs.createFileExclusively(path);
}

上面这种授权相当于授与某个程序的。而不区分当前调用程序的人是谁。JAAS 这种则是为了解决“向谁就某事授权”的问题。一般我们登录是用 JAAS 这种授权，它能区分出“谁”和“某件事”。