安全技术 Java与安全性，第1部分二(图) (1)

　　用户和组
　　
　　为列出属于某个安全域的用户，从Administration Console选择该安全域，然后选择Users节点。然后，可以使用右侧窗格来查看所有用户或者过滤清单。System用户帐号也将是清单的一部分――这是当使用Configuration Wizard（配置向导）创建域时定义的Administration用户帐号。选择“Configure a new User”，创建一个新用户。需要为每个用户指定一个名称、一段简短的描述和一个密码。注意，安全域中所有的用户名必须是独一无二的。默认的提供程序使用不区分大小写的用户名。用户可以属于一个或多个组。
　　
　　为列出和编辑属于某个安全域的所有组，需要从Administration Console选择该安全域，然后选择Groups节点。还可以在这里创建一个新组。组的Membership选项卡可能会误导人，因为它并不允许查看组的成员。要查看一个用户是不是组的成员，必须选择该用户，然后查看它的Groups选项卡。WebLogic允许向其他现有的组添加组，而Membership选项卡列出了所选中的组中包含的所有子组。还可以使用这个选项卡给当前组添加另一个组。
　　
　　对于安全配置，组成员资格具有两点重要的含义。假定用户在域中定义了两个组，A和B，而组B是组A的一个成员。这意味着：
　　
　　属于组B的每个用户同时也属于组A。
　　
　　如果指派一个角色或策略给组A，就是同时向组A的所有成员和组B的所有成员指定了相同的角色或策略。
　　
　　当查看用户的Groups选项卡时，Administration Console仅列出该用户直属的组。所以，如果一个用户属于组B，Administration Console在Groups选项卡下只会列出组B，即使该用户实际上既属于组A，也属于组B。
　　
　　当使用Configuration Wizard创建一个新域时，以下组将会自动创建并随时可用：Administrators、Deployers、Operators和Monitors。一开始，System用户是惟一被创建的用户，它也是域中Administrators组的惟一成员。
　　
　　记住，组只不过简化了管理的任务。如果一个用户是某个组的成员，它不会自动获得任何特殊的权限。只有当组（直接地或通过一个角色）参与策略语句时，它才会继承访问权限。例如，最初的System用户帐号获得了Administrative访问权限，仅仅是因为它是Administrators组的成员，而这个组又是（全局的）Admin角色的一个成员，同时有一条可用的策略语句把访问域中各个区域(area)的权限授予Admin角色。
　　
　　有两个组在Groups页面上没有列出，但是它们自动对于安全域可用：
　　
　　users
　　
　　该组代表所有通过身份验证的用户的集合。任何成功通过身份验证的用户都是users组的成员。
　　
　　everyone
　　
　　这个组代表所有WebLogic用户的集合，包括匿名用户。任何用户，无论是已验证的还是匿名的，都是everyone组的一个成员。
　　
　　这些组为建立默认的访问控制提供了一种便捷的方式。例如，通过策略语句“用户是everyone组的成员”，资源可以被所有用户访问。另外，通过对某项资源定义如下策略：“用户是users组的成员”，可以把访问权限定为仅针对已验证的用户。还可以编程式地检查服务器端的组成员资格。下面的例子用于检查当前用户是users组还是everyone组的成员：
　　
　　/** returns false if executed without any security context */
　　
　　weblogic.security.SubjectUtils.isUserInGroup(
　　
　　weblogic.security.Security.getCurrentSubject( ),"users");/** returns true regardless of whether the user authenticates */
　　
　　weblogic.security.SubjectUtils.isUserInGroup(
　　

[1] [2] [3] [4] [5] [6] [7]

Tags：关键字：安全技术 安全性

责任编辑：glen

本文引用地址： http://jsp.zgdxsw.com/java/java-high/200709/article_7680.shtml

加入收藏　打印本页　关闭窗口　返回顶部