Java Authentication and Authorization Service

Java Authentication and Authorization Service (JAAS) představuje javovskou verzi standardního Pluggable Authentication Module (PAM) frameworku.^[1]

Je využíván pro dvě činnosti:

Autentizace (Ověření pravosti) – ověření identity uživatele. Provádí se nejčastěji přijetím uživatelova jména a hesla. Ověření je bezpečné a důvěryhodné.
Autorizace – určení, zda ověřený uživatel má práva k přístupu k určité části systému

Základní popis

JAAS je standardní součástí Javy od JavaTM 2 SDK, Standard Edition (J2SDK), v 1.4. Ve verzi 1.3 byla součástí volitelnou. Byl přidán z důvodu nízké flexibility u původního systému zabezpečení, zejména pro provozování serverových aplikací. Jako součást Java 2 security se zabývá poskytováním povolení a bezpečnostní kontrolou těchto povolení. Toto vše je prováděno mimo kód aplikace, takže není nutné původní aplikaci upravovat. Samotná aplikace si není vědoma, že je na ní prováděna autentizace a autorizace.

Obsah frameworku^[1]

Základní třídy

Subject – zastupuje zdroj požadavku (uživatele), může jím být jak osoba, tak služba. Po autentizaci je k němu připojeno až několik objektů Principal a Credential.
Principal – zastupuje identitu uživatele. Vždy se jedná jen o jednu identitu, ale Subject jich může obsahovat několik. Může jí být například zaměstnanecké číslo, rodné číslo, jméno… Dále zastupuje role uživatele v systému. Subject opět může mít více rolí.
Credential – Může jím být cokoliv, co dokáže prokázat identitu uživatele (jméno a heslo, otisk prstu…) Není součástí knihovny JAAS, neboť jakákoliv třída může být Credential. Měl by implementovat metody Refreshable Archivováno 12. 10. 2008 na Wayback Machine. a Destroyable Archivováno 7. 5. 2009 na Wayback Machine.. Credential může být veřejný nebo soukromý. Pod veřejným si lze představit jméno a pod soukromým heslo.

Třídy a Rozhraní autentifikace

LoginContext – obsahuje základní metody pro autentizaci Subjectu
LoginModule – rozhraní pro přidání vlastní autentizační technologie
CallbackHandler – rozhraní pro komunikaci uživatele s LoginModule a naopak
Callback – rozhraní pro přenos různých autentizačních informací.

Třídy autorizace

Policy – abstraktní třída reprezentující tzv. bezpečnostní politiku. Stanovuje povolení přidělená kódu spuštěného z určitého zdroje (URL) nebo určitou identitou (osobou) Principal.
AuthPermission – třída pro základní povolení v JAAS. Využívá předvolené názvy pro určitá povolení.
PrivateCredentialPermission – třída pro ochranu soukromých Credential.

Průběh autentifikace a autorizace^[1]

Autentifikace

Aplikace vytvoří instanci LoginContext
LoginContext pomocí dat z konfigurace načte všechny LoginModule přidružené k aplikaci
Aplikace zavolá login metodu na LoginContext
Login metoda zavolá všechny LoginModule. Ty se pokusí o autentifikaci subjektu. Pokud se to podaří, jsou objektu Subject přiřazeny relevantní Principal a Credential. Tímto je subjekt autentizovaný.
LoginContext předá status o autentizaci aplikaci
Při úspěšné autentizaci dostane aplikace objekt Subject od LoginContext

Autorizace

Uživatel musí být autentizován
Subject, který je výsledkem autentizace, musí mít k sobě přiřazený kontext řízení přístupu (access control context)
Principal položky musí být konfigurovány v Policy

Příklady

Jednoduchý příklad, kde se zjišťuje povolení k zápisu do souboru cheese.txt^[2]

Aplikace:

package chp02;

 import java.io.File;
 import java.io.IOException;

 public class Chp02aMain {

   public static void main(String[] args) throws IOException {
     File file = new File("build/conf/cheese.txt");
     try {
       file.canWrite();
       System.out.println("Můžeme zapsat do cheese.txt");
     } catch (SecurityException e) {
       System.out.println("Nemůžeme zapsat do cheese.txt");
     }
 }
}

Aplikace si vytvoří objekt souboru cheese.txt
Zjistí, zda má povolení pro zápis do tohoto souboru
Podle nastavených práv pak zjistí, zda je schopen zápisu do souboru (pak je vyhozeno hlášení „Můžeme zapsat do cheese.txt“), nebo je vyhozena bezpečnostní výjimka a zahlášeno „Nemůžeme zapsat do cheese.txt“

Konfigurační soubor Policy:

grant
{
 permission java.io.FilePermission "build/conf/cheese.txt", "write";
};

Garantujeme povolení typu FilePermission na soubor "build/conf/cheese.txt" a to na zápis do tohoto souboru

Příklad logování do aplikace^[3]

Aplikace:

CallbackHandler handler = new RanchCallbackHandler(userName, password); 

try {
   LoginContext loginContext = new LoginContext("RanchLogin", handler);
   // Přihlášení
   loginContext.login();
} catch (LoginException e) {
   // Chyba při přihlášení, nepodařilo se přihlásit
   e.printStackTrace();
}

Aplikace vytvoří instanci LoginContext
Provede se pokus o nalogování

Login konfigurační soubor:

RanchLogin {
   com.javaranch.auth.RanchLoginModule required;
};

Tento soubor určuje, který z LoginModule bude použit pro logování a jak (viz Login konfigurační soubor podrobněji).
Zde se nastavuje, že pro jméno "RanchLogin" je použito RanchLoginModule a je nutné, aby modul uživatele autentizoval
Nastavuje se pro JVM přes parametr: -Djava.security.auth.login.config="JAAS_CONFIG_FILENAME"

'''LoginModul "RanchLoginModule":'''
 public boolean login() throws LoginException {
    boolean returnValue = true;
 	if (callbackHandler == null){
        throw new LoginException("No callback handler supplied.");
    }
 
    Callback[] callbacks = new Callback[2];
    callbacks[0] = new NameCallback("Username");
    callbacks[1] = new PasswordCallback("Password", false);
 
    try {
        callbackHandler.handle(callbacks);
        String userName = ((NameCallback) callbacks[0]).getName();
        char [] passwordCharArray = ((PasswordCallback)  
          callbacks[1]).getPassword();
        String password = new String(passwordCharArray);
 //-->autentifikuje se pomocí jména a hesla, které musí být stejné         
        returnValue = userName.equals(password);
    } catch (IOException ioe)  {
        ioe.printStackTrace();
        throw new LoginException("IOException occurred:
          "+ioex.getMessage());
    } catch (UnsupportedCallbackException ucbe) {
        ucbe.printStackTrace();
        throw new LoginException("UnsupportedCallbackException encountered:
          "+ucbe.getMessage());
    }
 
    System.out.println("Přihlášen");
    return returnValue;
 }

Pomocí Callbacků a CalbackHandleru se získá jméno a heslo
Porovná se, zda se jméno shoduje s heslem
Vrátí se návratová hodnota true nebo false podle porovnání jména a hesla

Konfigurační soubor Policy:

grant {
   permission java.util.PropertyPermission "user", "read";
   permission java.util.PropertyPermission "pass", "read";
   permission java.util.PropertyPermission
    "java.security.auth.login.config", "read";
   permission java.util.PropertyPermission "java.security.policy", "read";
   permission javax.security.auth.AuthPermission
    "createLoginContext.RanchLogin";
};

Nastavení práv pro možnost vytváření objektu LoginContext a přístup k atributům
Je nutné pouze při aktivním security manageru

Výsledky spuštění aplikace:

Stejné jméno a heslo

java -Duser=rahul
    -Dpass=rahul
    -Djava.security.auth.login.config=jaas.config
    -jar jaas-example.jar

Přihlášení proběhlo v pořádku

Různé jméno a heslo

java -Duser=rahul
    -Dpass=notrahul
    -Djava.security.auth.login.config=jaas.config
    -jar jaas-example.jar

Jméno a heslo nejsou stejné, proto se nepřihlásí

Stejné jméno a heslo + spuštěn security manager

java -Duser=rahul
    -Dpass=rahul
    -Djava.security.auth.login.config=jaas.config
    -Djava.security.manager
    -jar jaas-example.jar

Nejsou nastavena práva. Není tedy schopen provést operace pro přihlášení a nepřihlásí se

Stejné jméno a heslo + spuštěn security manager + nstavena práva

java -Duser=rahul
    -Dpass=rahul
    -Djava.security.auth.login.config=jaas.config
    -Djava.security.manager
    -Djava.security.policy=policy.config
    -jar jaas-example.jar

Přihlášení proběhlo v pořádku

Login konfigurační soubor podrobněji^[3]

RanchLogin {
   com.javaranch.auth.FirstLoginModule
       requisite debug=true ;

   com.javaranch.auth.SecondLoginModule
       required debug=false email=admin@mydomain.com ;
};

Jak je vidět z příkladu pod jedním jménem (RanchLogin) může být více než jeden LoginModule. Obsahují také své vlastní parametry, které jsou pak v jednotlivých modulech přístupné (debug pro FirstLoginModule, debug a email pro SecondLoginModule). Poslední položkou je konfigurace jednotlivých modulů. Ty mohou být podle klíčových slov:

Required – Modul musí autentizovat uživatele. Pokud se tak nestane, stejně je předáno řízení dalšímu LoginModul
Requisite – Pokud se nepovede přihlášení, vrátí se okamžitě zpět do aplikace a další LoginModuly se nespouští
Sufficient – Pokud se tomuto modulu podaří přihlásit, autentizace se bere jako splněná a vrací se zpět do aplikace. Pokud ne, pokračuje se dalšími LoginModuly
Optional – Pokračuje vždy k dalšímu LoginModulu, nezávisle na výsledku autentizace

Reference

↑ ^a ^b ^c JAAS Reference Guide [online]. Dostupné online. (anglicky)
↑ COTÉ, Michael. JAAS in action ["PDF online"]. 2005-10-26. Dostupné online. (anglicky)
↑ ^a ^b BHATTACHARJEE, Rahul. Authentication using JAAS [online]. Příprava vydání Ulf Dittmer. 4.2008 [cit. 2010-06-16]. Dostupné v archivu pořízeném dne 2012-02-13. (anglicky)