public class LoginContext extends Object
LoginContext
类描述了用于验证主题的基本方法,并提供了独立于底层认证技术开发应用程序的方法。 甲Configuration
指定认证技术,或LoginModule
,与特定应用中使用。 可以在应用程序下插入不同的LoginModules,而不需要对应用程序本身进行任何修改。
除了支持可插拔身份验证,此类还支持堆叠身份验证的概念。 应用程序可能配置为使用多个LoginModule。 例如,可以在应用程序下配置Kerberos LoginModule和智能卡LoginModule。
一个典型的调用者用一个名字来实例化一个LoginContext,一个CallbackHandler
。 LoginContext使用名称作为索引到配置中,以确定应使用哪个LoginModule,以及哪些必须成功才能使整体身份验证成功。 CallbackHandler
被传递到底层的LoginModules,以便它们可以与用户进行通信和交互(例如通过图形用户界面提示用户名和密码)。
一旦调用者已经实例化了一个LoginContext,它调用login
方法来验证一个Subject
。 login
方法调用配置的模块来执行各自的身份验证(用户名/密码,智能卡引脚验证等)。 请注意,如果身份验证失败,LoginModules将不会尝试进行身份验证重试,也不会引入延迟。 这些任务属于LoginContext调用者。
如果login
方法返回而不抛出异常,那么整体认证成功。 呼叫者可以通过调用getSubject
方法来检索新认证的主题。 与Subject相关的Principals和Credentials可以通过调用主题的各个被检索getPrincipals
, getPublicCredentials
和getPrivateCredentials
方法。
要退出主题,主叫方将呼叫logout
方法。 与login
方法一样,此logout
方法调用配置的模块的logout
方法。
不应该使用LoginContext来认证多个主题。 应该使用单独的LoginContext来认证每个不同的主题。
以下文档适用于所有LoginContext构造函数:
Subject
null
主题,并且null
一个null
值,则LoginContext会实例化一个新的主题。 Configuration
如果构造函数没有配置输入参数,或者如果调用者指定了一个null
配置对象,则构造函数使用以下调用来获取已安装的配置:
config = Configuration.getConfiguration();
对于这两种情况,给构造函数的name参数都传递给Configuration.getAppConfigurationEntry
方法。 如果配置没有指定名称的条目,则LoginContext
调用getAppConfigurationEntry
,名称为“ other ”(默认条目名称)。 如果没有“ 其他 ”条目,则抛出LoginException
。 AccessController.doPrivileged
呼叫以便执行安全敏感的任务(例如,连接到远程主机,并更新主题)模块将所需要的相应的权限,但则LoginContext的呼叫者将不需要那些权限。 AccessControlContext
为呼叫者保存AccessControlContext
,并从由该上下文限制的AccessController.doPrivileged
调用中调用配置的模块。 这意味着调用者上下文(在创建LoginContext时存储)必须具有足够的权限来执行模块可能执行的任何对安全敏感的任务。 CallbackHandler
null
CallbackHandler对象(并且null
使用null
值),那么LoginContext会查询默认处理程序实现的完全限定类名的auth.login.defaultCallbackHandler
security属性。 如果未设置安全属性,则底层模块将不具有用于与用户通信的CallbackHandler。 因此,呼叫者假设所配置的模块具有用于认证用户的替代手段。 handle
方法实现将调用指定的CallbackHandler的handle
方法java.security.AccessController.doPrivileged
通话受限于呼叫者当前的AccessControlContext
。 Security
, AuthPermission
, Subject
, CallbackHandler
, Configuration
, LoginModule
, security properties
Constructor and Description |
---|
LoginContext(String name)
使用名称实例化一个新的
LoginContext 对象。
|
LoginContext(String name, CallbackHandler callbackHandler)
实例化一个新
LoginContext 的名称和一个对象
CallbackHandler 对象。
|
LoginContext(String name, Subject subject)
实例化一个新
LoginContext 的名称和一个对象
Subject 对象。
|
LoginContext(String name, Subject subject, CallbackHandler callbackHandler)
实例化一个新的
LoginContext 对象,一个名称,一个
Subject 要认证,一个
CallbackHandler 对象。
|
LoginContext(String name, Subject subject, CallbackHandler callbackHandler, Configuration config)
实例化一个新
LoginContext 对象有一个名字,一个
Subject 要进行身份验证,一个
CallbackHandler 对象,登录
Configuration 。
|
public LoginContext(String name) throws LoginException
LoginContext
对象。
name
- 该名称用作
Configuration
的索引。
LoginException
- 如果呼叫者指定的
name
未出现在
Configuration
,并且没有
Configuration
条目为“
其他 ”,或者如果
auth.login.defaultCallbackHandler安全性属性已设置,但实现类无法加载。
SecurityException
- (“ createLoginContext
名称 ‘),如果安全管理器被设置并且呼叫者没有AuthPermission,或者如果
名称的配置条目不存在,并且调用者不另外具有AuthPermission(’createLoginContext.other”)
public LoginContext(String name, Subject subject) throws LoginException
LoginContext
的名称和一个对象
Subject
对象。
name
- 该名称用作
Configuration
的索引。
subject
-
Subject
认证。
LoginException
- 如果呼叫方指定的
name
未出现在
Configuration
,并且没有
Configuration
条目为“
其他 ”,如果主叫方指定的
subject
为
null
,或者如果
auth.login.defaultCallbackHandler安全属性已设置,但实现课程无法加载。
SecurityException
- (“ createLoginContext
名称 ‘),如果安全管理器被设置并且呼叫者没有AuthPermission,或者如果
名称的配置条目不存在,并且调用者不另外具有AuthPermission(’createLoginContext.other”)
public LoginContext(String name, CallbackHandler callbackHandler) throws LoginException
LoginContext
的名称和一个对象
CallbackHandler
对象。
name
- 该名称用作
Configuration
的索引。
callbackHandler
-
CallbackHandler
使用的
CallbackHandler
对象与用户进行通信。
LoginException
- 如果主叫方指定的
name
未出现在
Configuration
,并且没有
Configuration
条目为“
其他 ”,或者呼叫方指定的
callbackHandler
为
null
。
SecurityException
- (“ createLoginContext
名称 ‘),如果安全管理器被设置并且呼叫者没有AuthPermission,或者如果
名称的配置条目不存在,并且调用者不另外具有AuthPermission(’createLoginContext.other”)
public LoginContext(String name, Subject subject, CallbackHandler callbackHandler) throws LoginException
LoginContext
对象,一个名称,一个
Subject
要认证,一个
CallbackHandler
对象。
name
- 该名称用作
Configuration
的索引。
subject
-
Subject
进行身份验证。
callbackHandler
-
CallbackHandler
用于与用户通信的
CallbackHandler
对象。
LoginException
- 如果呼叫方指定的
name
未出现在
Configuration
,并且没有“
其他 ”的
Configuration
条目,或者主叫方指定的
subject
为
null
,或者呼叫方指定的
callbackHandler
为
null
。
SecurityException
- (“ createLoginContext
名称 ‘),如果安全管理器被设置并且呼叫者没有AuthPermission,或者如果
名称的配置条目不存在,并且调用者不另外具有AuthPermission(’createLoginContext.other”)
public LoginContext(String name, Subject subject, CallbackHandler callbackHandler, Configuration config) throws LoginException
LoginContext
对象有一个名字,一个
Subject
要进行身份验证,一个
CallbackHandler
对象,登录
Configuration
。
name
- 用作呼叫者指定的索引的名称
Configuration
。
subject
- 要
Subject
的Subject,或
null
。
callbackHandler
-
CallbackHandler
用于与用户
callbackHandler
的
CallbackHandler
对象,或
null
。
config
-所述
Configuration
,该目录的登录模块被调用来执行认证,或
null
。
LoginException
- 如果来电者指定的
name
没有出现在
Configuration
,而没有
Configuration
条目为“
其他 ”。
SecurityException
-如果安全管理器被设置,
配置为
null
,并且或者调用者没有AuthPermission(“。createLoginContext
名 ‘),或者如果为
名称的配置条目不存在,并且调用者不另外具有AuthPermission(’createLoginContext。其他”)
public void login() throws LoginException
此方法调用login
配置用于指定给名称每个LoginModule方法LoginContext
构造函数,如由登录确定Configuration
。 然后,每个LoginModule
执行其相应类型的认证(用户名/密码,智能卡引脚验证等)。
此方法通过调用每一个被配置LoginModule的完成了2阶段认证过程commit
方法,如果整个身份验证成功(相关的REQUIRED,REQUISITE,足够了,和可选的LoginModules成功),或者通过调用每个配置的LoginModule的abort
方法如果整体验证失败。 如果认证成功,每个成功的LoginModule的commit
方法将相关的主体和凭据与Subject
相关Subject
。 如果身份验证失败,则每个LoginModule的abort
方法将删除/销毁任何先前存储的状态。
如果验证过程的commit
阶段失败,则整体认证失败,并且此方法为每个配置的LoginModule
调用abort
方法。
如果abort
阶段由于任何原因失败,则此方法会传播login
阶段或commit
阶段抛出的原始异常。 在任一种情况下,总体身份验证失败。
在多个LoginModules失败的情况下,此方法传播由失败的第一个LoginModule
引发的LoginModule
。
请注意,如果此方法进入abort
阶段( login
或commit
阶段失败),则此方法将调用为应用程序配置的所有LoginModule,而不管其各自的Configuration
标志参数。 基本上这意味着在abort
阶段Requisite
和Sufficient
语义被忽略。 这样可以保证适当的清理和状态恢复。
LoginException
- 如果认证失败。
public void logout() throws LoginException
Subject
。
该方法针对为此LoginContext
每个LoginModule
调用logout
方法。 每个LoginModule
执行其各自的注销过程,其可以包括从Subject
和状态清理中删除/销毁Principal
和Credential
信息。
请注意,此方法调用为应用程序配置的所有LoginModule,而不管其各自的Configuration
标志参数。 本质上这意味着Requisite
和Sufficient
语义将被忽略。 这样可以保证适当的清理和状态恢复。
LoginException
- 如果注销失败。
public Subject getSubject()