Jaas?

Programação Java
#1

Bom dia pessoal,
estou iniciando neste assunto (JAAS) e tenho dúvidas.
tenho uma aplicação de exemplo e gostaria de saber se é JAAS que é utilizado. Poderia dizer que estou utilizando JAAS de acordo com as seguintes declarações abaixo (trecho do meu web.xml):

	<description>Nome aplicacao</description>
	<display-name>XXXXX</display-name>
	<servlet>
		<display-name>ExemploServlet</display-name>
		<servlet-name>ExemploServlet</servlet-name>
		<servlet-class>servlet.ExemploServlet</servlet-class>
	</servlet>
	<servlet-mapping>
		<servlet-name>ExemploServlet</servlet-name>
		<url-pattern>/servlet/exemploServlet</url-pattern>
	</servlet-mapping>
	<session-config>
		<session-timeout>20</session-timeout>
	</session-config>
	<welcome-file-list>
		<welcome-file>index.jsp</welcome-file>
	</welcome-file-list>
	<security-constraint>
		<web-resource-collection>
			<web-resource-name>xxxx_Collection</web-resource-name>
			<url-pattern>/jsp/modulo01/*</url-pattern>
		</web-resource-collection>
		<auth-constraint>
			<role-name>xxxx</role-name>
		</auth-constraint>
	</security-constraint>
	<security-constraint>
		<web-resource-collection>
			<web-resource-name>yyyy_Collection</web-resource-name>
			<url-pattern>/jsp/modulo02/*</url-pattern>
		</web-resource-collection>
		<auth-constraint>
			<role-name>yyyy</role-name>
		</auth-constraint>
	</security-constraint>
	<security-constraint>
		<web-resource-collection>
			<web-resource-name>Total_Collection</web-resource-name>
			<url-pattern>/</url-pattern>
			<url-pattern>/index.jsp</url-pattern>
			<url-pattern>/imagens/*</url-pattern>
		</web-resource-collection>
		<auth-constraint>
			<role-name>xxxx</role-name>
			<role-name>yyyy</role-name>
		</auth-constraint>
	</security-constraint>
	<login-config>
		<auth-method>BASIC</auth-method>
		<realm-name>nome</realm-name>
	</login-config>
	<security-role>
		<description>Descrição da role x/description>
		<role-name>xxxx</role-name>
	</security-role>
	<security-role>
		<description>Descrição da role y</description>
		<role-name>yyyy</role-name>
	</security-role>

Também, isto seria uma configuração para autenticação gerenciada por container ou application (<login-config>)?

Obrigado

#2

Sim para ambas perguntas.

Você pode saber mais sobre JAAS aqui: http://java.sun.com/javase/6/docs/technotes/guides/security/

#3

Obrigado Garcia_jj,

Mas quero dizer que se não há declaração no

 &lt;login-config&gt;  
     &lt;auth-method&gt;BASIC&lt;/auth-method&gt;  
     &lt;realm-name&gt;nome&lt;/realm-name&gt;  
 &lt;/login-config&gt;

seria por default application ou container?

#4

Não entendi bem o que você quis dizer… mas o JAAS quem controla a autenticação é o container. O auth-method e o real-name são ambos obrigatórios; o primeiro indica que o tipo de autenticação, se via formulário (form), via dialogo do navegador plano (basic); o segundo indica qual o realm você quer usar, pois você pode ter realms para autenticação via jdbc, datasources, ldap…

#5

Opa,
Além dessas duas tem uma tag “res-auth” que pode ser “res-auth=Application” ou “res-auth=Container”.
Daí fiz confusão!!

obrigado.Valeu mesmo.

http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.express.iseries.doc/info/iseriesexp/ae/csec_j2csecurity.html

#6

lgr, realmente eu nunca usei essas tags no JAAS. Isso já usei para recursos disponibilizados na JNDI, assim você diz se é gerenciado via container ou aplicação. No caso do JAAS se você tem uma aplicação web ele é gerenciado pelo container. Mesmo que você crie seu próprio login-module, quem cuida de tudo é o container.

Lendo o link que você passou da IBM esse res-auth=Application é para conetar-se a um recurso:

Conforme diz no site essa tag indica quem é responsável pela conexão (se o container ou tua aplicação).

#7