HarmonyOS开发者限时福利来啦!最高10w+现金激励等你拿~ 了解详情
写点什么

访谈与书摘:Masoud Kalali 的《GlassFish 安全》

  • 2011-02-03
  • 本文字数:2335 字

    阅读完需:约 8 分钟

Masoud Kalali 编著的《GlassFish 安全》涵盖的内容有:Java EE 安全模型;如何在Java EE 应用中设计开发安全的Web、EJB 模块,并将它们部署到 GlassFish 服务器环境中。Masoud 在书里还详细介绍了 GlassFish 应用服务器和 OpenDS 目录服务器的安装及配置,OpenDS 主要用来实现基于轻量级目录访问协议(LDAP)的用户认证和授权。

本书还介绍了用 OpenSSO 框架实现单点登录(SSO)的解决方案,其中包括用 RESTful Web Services 对用户进行认证和授权、通过 OpenSSO 解决方案确保 Java EE 应用和 Web Services 的安全。

InfoQ 就此书对 Masoud 进行了采访,和他讨论了写作动机、Java EE 6 里的安全新特性及其他一些话题。此外,InfoQ 还为读者准备了本书的书摘(第三章:设计、开发安全的Java EE 应用;778 KB 的PDF)。

InfoQ:你为什么编写这本书呢?

Masoud Kalali:写这本书的原因有很多,但最主要的还是以下几点:

开发人员清晰地理解安全、尤其是 Java EE 安全是很重要的,这就是写这本书最重要的原因。我认为对 Java EE 领域的开发人员来说,掌握 Java EE 安全的基础知识至关重要,所以在书里我用简单却详尽的方式对安全进行了阐述。

另一方面,GlassFish 是一款优秀的应用服务器产品,要在生产环境中使用 GlassFish,理解它的安全机制是很有必要的。

最后就是想用比参考文档更容易理解的方式,向那些对安全感兴趣的开发人员介绍 Java EE 6 引入的安全新特性。

InfoQ:对 Java EE 6 引入的安全新特性,你是怎么看的?

Masoud:和 Java EE 的其他服务、组件相比,安全并没有太多的变化。EJB 和 Web 层在 Java EE 5 和 Java EE 6 里都有非常大的变化,再看看安全,尽管 Java EE 6 在平台安全方面添加了一些新鲜气息,但我觉得我们仍然有进步的空间。

InfoQ:Web 层组件 Servlet 现在可以通过声明(@ServletSecurity 注解)和编程方式(HTTPServletRequest 接口增加的 login 和 authenticate 方法)支持认证。你如何看待 Web 层提供的这种安全支持?

Masoud:现在的开发和部署都从 XML 描述符转向了注解,增加注解符合这一趋势。但编程方式的安全增强则更有意思一些,login、logout 这些方法能让开发人员更好地控制认证和授权过程。很高兴 Java EE 平台能有更好的安全特性。

InfoQ:和 Spring 安全 3 等其他安全框架相比,Java EE 6 里的安全新特性怎么样?

Masoud:我觉得不能简单地把 Java EE 平台安全和 Spring 安全放在一起比较,顾名思义,前者是平台级的,后者只是基于平台构建、处理更细粒度需求的框架。当我们通盘使用 Spring 框架,或者软件架构师确信系统不需要十分细致的安全集成方案时,使用 Spring 安全就可以了。

Java EE 平台提供的安全机制无法满足需求的时候,我倾向于使用 OpenSSO 之类的产品,OpenSSO 不仅能非侵入式地和 Java 应用集成,还可以让 Java 应用从本地或通过 RESTful 接口调用其他编程语言,从而使用相同的基础设施。

InfoQ:安全相关的其他 JSR 是怎样和 Java 安全模型保持一致的呢?比如 JASPIC(Java Authentication Service Provider Interface for Containers, JSR 196 )和 JACC(Java Authorization Contract for Containers, JSR 115 )。

Masoud:众所周知,产品的可插拔性和扩展性在产品需要添加新特性的时候非常有用。我们发现,当产品 A 支持的契约接口同样被其他类似产品支持的时候,可插拔性会更加重要。

JSR-196 和 JSR-115 这两个规范提供的大纲和契约接口统一了 Java EE 应用服务器的认证和授权模型。

JSR-196 的目标对象不是应用开发人员,而是框架和安全产品的开发人员,因为它能简化不同认证模型和 Java EE 应用服务器之间的集成。使用 JSR-196 SPI,开发人员可以开发自己的认证模块、把该模块插入应用服务器、对认证模块进行配置,并拦截服务器和客户端之间传输的消息。可以在四个点进行消息拦截:

  1. 客户端,请求发送给服务器之前。
  2. 服务器端,目标服务接受客户端请求之前。
  3. 服务器端,给客户端返回响应之前。
  4. 客户端,处理服务器响应之前。

消息拦截的使用示例可以参看 GlassFish 应用服务器的消息安全, Metro Web Services 框架就是利用消息拦截提供了容易配置、容易管理的 Web Services 安全。

JSR-196 的另一个应用场景是把 OpenID 等“none-supported”的认证模型集成到应用服务器当中,然后在部署到应用服务器里的应用中使用这些认证模型。

我们一提到安全,首先想到的两件事情就是认证和授权,正如我前面所说的,JSR-196 为 Java EE 应用服务器提供了统一的验证机制。JSR-115 提出的 SPI 则允许模块开发人员用自己的逻辑定义主体、定义角色、检查主体是否具有特定的角色,从而为支持 JSR 的 Java EE 应用服务器增加新的授权模型。

InfoQ:你希望 Java EE 后续的版本中能增加哪些安全特性呢?

Masoud:我希望能让开发人员更自由地控制整个认证和授权过程,不论使用缺省配置还是使用自己的配置和定制。目前,有些框架有专门的安全层,比如 Seam ;还有些框架给开发人员提供了很不错的安全方法定制,比如 Spring 安全;我期望能有一些基于角色的访问控制,也期望 SSO 能更加广泛地应用。OpenSSO、Oracle 访问管理器、IBM Tivoli 访问管理器等访问管理产品现在都开始支持刚刚提到的这些功能、以及很多其他的安全集成特性了。

InfoQ:谢谢你接受我们的采访。最后一个问题,你喜欢的 IT 类图书和非 IT 类图书分别是什么?

Masoud:说到 IT 类图书,我喜欢《大型软件体系结构:使用UML 实践指南》,最喜欢的非IT 类图书则是《魔戒》系列。

查看英文原文: Interview and Book Excerpt: Masoud Kalali’s GlassFish Security


感谢王丽娟对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家加入到 InfoQ 中文站用户讨论组中与我们的编辑和其他读者朋友交流。

2011-02-03 00:001629

评论

发布
暂无评论
发现更多内容

面试不再慌!苦学这份2023最全的Java性能优化实战笔记,已涨17k

Java你猿哥

Java 面试 JVM 多线程 Java性能优化

速通字节!阿里p8耗时6个月打造的java面试手册,看到直呼“面试有手就行”

Java你猿哥

Java spring 微服务 JVM 多线程

Redis数据类型及底层大剖析

做梦都在改BUG

Java 数据库 redis 缓存

ZooKeeper 避坑指南: ZooKeeper 3.6.4 版本 BUG 导致的数据不一致问题

阿里巴巴云原生

zookeeper 阿里云 开源 云原生

为什么《魂斗罗》只有128KB却可以实现那么长的剧情?

Java你猿哥

Java 编程 程序员 汇编语言 优化技术

分布式事务的21种武器 - 4

俞凡

架构 云原生

面试官:一千万的数据,你是怎么查询的?

做梦都在改BUG

GitHub爆赞!阿里P9架构师的JDK源码笔记也太强了!

做梦都在改BUG

Java 源码 jdk 高并发

Java8 lambda 表达式 forEach 如何提前终止?

Java你猿哥

Java ssm java8 foreach

SpringBoot核心配置全面总结

小小怪下士

Java 程序员 后端 springboot

2023年互联网Java面试题最新整理附答案

架构师之道

Java 面试

MySQL深分页问题原理与三种解决方案

做梦都在改BUG

Java MySQL 数据库

太强了!牛客网开源1240页字节算法实录,无意中掀起GitHub刷题热潮

做梦都在改BUG

Java 数据结构 算法 LeetCode

分布式事务的21种武器 - 5

俞凡

架构 云原生

五张图带你看透Redis数据结构

做梦都在改BUG

K8s 安全是云安全的未来

HummerCloud

Kubernetes k8s

我懵了,如果要存 IP 地址,用什么数据类型比较好?

Java你猿哥

Java MySQL 数据库 ssm IP

Java面试题大全(2023最新版)大厂面试题附答案详解

采菊东篱下

Java 面试

基于Alpine制作Tomcat的Docker镜像

清康

声网 Token 鉴权机制,以及常见的问题

声网

MATLAB与Simulink

袁袁袁袁满

三周年连更

运行第一个程序Hello world

鸿蒙之旅

OpenHarmony 三周年连更

MySQL面试八股文:索引篇

Java你猿哥

Java MySQL ssm 索引 八股文

Alibaba内网“疯狂”传阅的P8开源出的SpringBoot入门到进阶小册

做梦都在改BUG

Java spring 微服务 Spring Boot 框架

Python的常见数据结构

timerring

Python

字节速通!这份软件测试八股文还怕不能拿offer?你值得拥有

Java你猿哥

MySQL 面试 软件测试 计算机 八股文

https和http有什么区别?

海拥(haiyong.site)

三周年连更

爆赞!GitHub上久经不衰的经典教程:Springboot精髓参考指南手册

做梦都在改BUG

Java spring 微服务 Spring Boot 框架

程序性能提高了5倍!开源阿里500页的Java程序优化笔记

Java你猿哥

Java 面试 性能优化 Java虚拟机 Java性能优化

一文了解获得 Zebec Labs 投资的 Coral Finance,空投计划或在不久推出

西柚子

什么是数据库分片?

Java架构历程

Java 数据库 三周年连更

访谈与书摘:Masoud Kalali的《GlassFish安全》_Java_Srini Penchikala_InfoQ精选文章