第 4 章 Elytron 子系统示例方案

为了保证应用安全，JBoss EAP 附带了预配置 application-http-authentication，用于使用 SASL 使用 HTTP 和 application-sasl-authentication。application-http-authentication http-authentication-factory 使用 ApplicationDomain，它使用 ApplicationRealm 和 groups-to-roles 进行身份验证。ApplicationRealm 是一个由 application- users.properties 和 application-roles.properties （用户名、密码和角色信息）支持的 properties-realm。

为了保护管理接口，JBoss EAP 附带了用于 HTTP 的 management-http-authentication 的预配置，以及 SASL 的 management-sasl-authentication。management-http-authentication http-authentication-factory 使用 ManagementDomain，它使用 ManagementRealm 和 groups-to-roles 进行身份验证。ManagementRealm 是一个由mgmt- users.properties 和 mgmt-roles.properties （用户名、密码和角色信息）支持的 properties-realm。management-sasl-authentication sasl-authentication-factory 使用 ManagementDomain，它使用 local 进行 JBOSS-LOCAL-USER 身份验证，以及 ManagementRealm 进行 DIGEST-MD5 身份验证。

默认情况下，没有 JBoss EAP 的用户，但本例中添加了以下用户：

启动时，JBoss EAP 实例加载所有四个身份验证工厂及其关联的安全域、安全域和其他配置的组件。

如果任何人都尝试使用 JBOSS-LOCAL-USER 通过管理 CLI 访问管理界面，换句话说，从与 JBoss EAP 实例相同的主机运行管理 CLI，用户将被定向到 management-sasl-authentication sasl-authentication-factory，它将尝试使用 本地 安全域通过 ManagementDomain 验证用户身份。

如果 Susan 尝试从其他主机使用管理 CLI 访问管理接口，她将使用带有 SASL 的 DIGEST-MD5 身份验证机制。她将被定向到 management-sasl-authentication sasl-authentication-factory，它将尝试使用 Management Realm 安全域通过 Management Domain 验证用户。

如果 Susan 尝试使用基于 Web 的管理控制台访问管理界面，她将使用带有 HTTP 的 DIGEST 身份验证机制。她将被定向到 management-http-authentication http-authentication-factory，它将尝试使用 Management Realm 安全域通过 Management Domain 验证用户。

应用 sampleApp1.war 有两个 HTML 文件，/hello.html 和 /secure/hello.html，并使用 BASIC HTTP 身份验证来保护路径 /secure/*。它使用 Application Realm，它需要 sample 的角色。当用户尝试访问 sampleApp1.war 时，它们将定向到 application-http-authentication http- authentication-factory。它将尝试使用 Application Realm 安全域通过 Application Domain 验证用户。

当 Sarah 请求 /hello.html 时，她可以查看页面而不进行身份验证。当 Sarah 尝试请求 /secure/hello.html 时，系统会提示她输入其用户名和密码。成功登录后，她能够查看 /secure/hello.html。Frank 和 Susan 或任何用户都可以访问 /hello.html，但不能访问 /secure/hello.html。Frank 没有 示例 角色，Susan 不在 ApplicationRealm 安全 域中。