安全技术 Java与安全性，第1部分二(图) (5)

mysecrole的角色。当部署web应用程序时，WebLogic将在其安全域中查找mysecrole角色，并使用这个安全角色在web应用程序上配置策略语句。在本例中，策略语句将指定以下条件：“调用者是mysecrole角色的成员。”这样，WebLogic就可以确保只有是安全角色mysecrole的成员的用户才能调用受保护的资源。当然，现在必须使用Administration Console为安全域配置mysecrole，使其作为这个特定的web应用程序的全局角色或是局部角色。类似的技术也可以对EJB使用。
　　
　　外部定义元素的一个重要的优点就是，无需修改WebLogic处理部署描述符中安全信息的方式（参见本章后面的“忽略部署描述符”一节）。因为安全约束是通过根据安全角色而定义的策略语句实现的，而安全角色只能使用Administration Console填充，所以没有机会重写这种角色和策略指派。该元素和传统的J2EE角色指派之间的区别在于，任何列出了weblogic.xml描述符文件中的主体的安全角色指派都将创建一个角色，此角色的成员资格条件是根据这些主体而定义的。如果使用外部定义元素，安全角色指派必须指向已经使用Administration Console为安全域配置的角色。
　　
　　策略
　　
　　安全策略使用户可以保护各种服务器资源。例如，可以决定谁可以访问Administration Console、谁可以启动和停止服务器，以及谁可以访问连接池、web应用程序、EJB、企业应用程序、J2EE连接器和JNDI树的特定分支，等等。安全策略非常严密地控制着WebLogic域中的授权设置。尽管局部角色看起来十分类似于策略，但是策略定义了访问控制，而角色则不然。总之：
　　
　　策略语句用于保护资源。
　　
　　策略语句允许用户指定多个条件，满足这些条件的用户就可以访问资源。
　　
　　安全策略是对角色有效的条件的超集。可以使用用户名、组名、定时设置和角色的一个逻辑组合来定义策略。策略中使用的角色可以是全局角色，也可以是那些作用域限定于为其定义策略的资源的局部角色。
　　
　　注：WebLogic资源只有当指派了安全策略后才受到保护。某些WebLogic资源带有一组默认策略。
　　
　　角色信息是由Role Mapping Provider保存的，而策略信息则是由Authorization Provider保存的。即使可以以与角色相同的方式配置安全策略，我们还是建议设置角色来识别用户职责，并创建策略以使用这些角色指定访问限制。也就是说，应该根据现有用户、组和定时设置来定义角色，然后就可以使用这些角色为资源配置策略语句。这种模式与开始“综述”一节中讲述的基于J2EE角色的安全性模型十分吻合。
　　
　　有很多指派策略的方式：
　　
　　WebLogic可以自动指派策略给web应用程序和EJB，不过要在读取了它们的部署描述符之后。
　　
　　管理员可以手动为WebLogic资源指派策略，并改变它们的配置。
　　
　　WebLogic提供了适用于很多资源的默认安全策略。
　　
　　使用Administration Console
　　
　　管理员可以显式地定义有助于保护WebLogic资源的安全策略。就像为资源定义局部角色一样，可以以同样的方式指派安全策略。只要从Administration Console的左侧窗格中选择资源，然后右击并选择Define Security Policy选项即可。EJB提供了另外的选项，即“Define Security Policies and Roles for Individual beans”，该选项允许为特定的EJB定义策略，以及进一步将此策略限定于选中的EJB方法。Web服务模块也提供类似的功能，允许为模块中特定的web服务定义策略，以及进一步将此策略限定于选中的web服务操作。也有针对JMS destination的相同功能，只不过策略是限定于队列的发送、接收或浏览操作，或者是主题的发