5.15. 在应用程序里使用安全域

过程 5.12. 配置你的应用程序以使用安全域

1. 定义安全域

   你可以在服务器的配置文件或应用程序的描述符里定义安全域。

   • 在服务器的配置文件里配置安全域

     安全域是在服务器配置文件的 security 子系统里配置的。如果 JBoss EAP 6 实例运行在受管域里，配置文件应该是 domain/configuration/domain.xml。如果是独立服务器，则是 standalone/configuration/standalone.xml 文件。
     other、jboss-web-policy 和 jboss-ejb-policy 都是 JBoss EAP 6 里默认提供的安全域。下面的 XML 示例是从服务器配置文件的 security 子系统里复制的。

     <subsystem xmlns="urn:jboss:domain:security:1.2">
         <security-domains>
             <security-domain name="other" cache-type="default">
                 <authentication>
                     <login-module code="Remoting" flag="optional">
                         <module-option name="password-stacking" value="useFirstPass"/>
                     </login-module>
                     <login-module code="RealmDirect" flag="required">
                         <module-option name="password-stacking" value="useFirstPass"/>
                     </login-module>
                 </authentication>
             </security-domain>
             <security-domain name="jboss-web-policy" cache-type="default">
                 <authorization>
                     <policy-module code="Delegating" flag="required"/>
                 </authorization>
             </security-domain>
             <security-domain name="jboss-ejb-policy" cache-type="default">
                 <authorization>
                     <policy-module code="Delegating" flag="required"/>
                 </authorization>
             </security-domain>
         </security-domains>
     </subsystem>
     
     

     Copy to Clipboard Toggle word wrap
     你可以按需要用管理控制台或 CLI 配置其他的安全域。

   • 在应用程序的描述符文件里配置安全域

     安全域是在应用程序的 WEB-INF/jboss-web.xml 文件里的 <jboss-web> 元素的<security-domain> 子元素里指定的。下面的例子配置了一个名为 my-domain 的安全域。

     <jboss-web>
         <security-domain>my-domain</security-domain>
     </jboss-web>        
             
     
     

     Copy to Clipboard Toggle word wrap
     这只是你可以在 WEB-INF/jboss-web.xml 描述符里指定的许多设置中的一个。

2. 在 EJB 里添加必需的注解

   你可以用 @SecurityDomain 和 @RolesAllowed 注解在 EJB 里配置安全性。下面的 EJB 代码示例限制了具有 guest 角色的用户对 other 安全域的访问。

   package example.ejb3;
   
   import java.security.Principal;
   
   import javax.annotation.Resource;
   import javax.annotation.security.RolesAllowed;
   import javax.ejb.SessionContext;
   import javax.ejb.Stateless;
   
   import org.jboss.ejb3.annotation.SecurityDomain;
   
   /**
    * Simple secured EJB using EJB security annotations
    * Allow access to "other" security domain by users in a "guest" role.
    */
   @Stateless
   @RolesAllowed({ "guest" })
   @SecurityDomain("other")
   public class SecuredEJB {
   
      // Inject the Session Context
      @Resource
      private SessionContext ctx;
   
      /**
       * Secured EJB method using security annotations
       */
      public String getSecurityInfo() {
         // Session context injected using the resource annotation
         Principal principal = ctx.getCallerPrincipal();
         return principal.toString();
      }
   }
   

   Copy to Clipboard Toggle word wrap
   关于更多的代码示例，请参考 JBoss EAP 6 Quickstarts 集里的 ejb-security quickstart，你可以在红帽的客户门户找到这些例子。