Bilal Ak�ay » 2007

JAAS – Java ile kimlik kontrol�

Tarih: 11 Aralık 2007 Kategori: Programlama

Java ile yazd��n�z uygulaman�n kaynak kodlar�nda bir sat�r bile de�i�tirmeden kullan�c� ad� ve �ifre kontrol�n�, ak�ll� kart kullan�m�n� ya da parmak izi kullan�m�n� nas�l eklersiniz?

JAAS (Java Authentication and Authorization Service) paketleri Java’n�n i�indeki g�venlik sistemini biraz daha geli�tiriyor ve farkl� kaynaklar kullan�larak g�venlik sistemleri olu�turmay� m�mk�n hale getiriyor.

Java SDK i�indeki java.security.* paketleri bir uygulaman�n g�venli�inin sa�lanmas� i�in temel metotlar� i�eriyor. Bunlar aras�nda byte-code do�rulay�c�s� (byte-code verifier), s�n�f y�kleyicisi (class loader), g�venlik y�neticisi (security manager), eri�im denetleyicisi (access controller), politikalar (policy) ve koruyucu alanlar (protecting domain) say�labilir.

Bunlara ek olarak geni�letme k�t�phaneleri (extension API) sayesinde uygulamalar�n g�venli�i istenilen seviyelerde artt�r�labiliyor. JAAS bunlardan birisi…

JAAS temel olarak uygulamaya kimlik bilgisi d�nd�recek bir LoginContext ve bu kimlik bilgisinin �e�itli yollarla elde edilmesini sa�layan bir LoginModule‘den olu�uyor.

LoginModule s�n�f�ndan geni�letilerek olu�turulan mod�ller kimlik bilgisi i�in bir veritaban�na ba�lanan, Kerberos ya da LDAP dizininden kullan�c� bilgisi alan, ak�ll� kart okuyucudan veya parmak izi okuyucudan bilgi aktaran bir yap�da tasarlanabilir. Uygulamadan ba��ms�z olarak mod�ller tasarlamak bize eklenip ��kar�labilir bir kimlik denetimi yap�s� sa�lar.

Uygulamam�zda JAAS kullanmak i�in ��yle bir yol izliyoruz:

�ncelikle bir konfig�rasyon dosyas� olu�turuyoruz. Daha sonra uygulamay� �al��t�r�rken parametre olarak bu dosyay� verece�iz.

jaas.config

Ornek
{
   DBLoginModule required
        debug="true"
        url="jdbc:mysql://localhost/jaasdb?user=root&password=pass"
        driver="org.gjt.mm.mysql.Driver";
};

Uygulamay� �al��t�r�rken kullan�m�:

 java -Djava.security.auth.login.config=jaas.config JaasTest

Burada kullanaca��m�z mod�l, bir MySql veritaban�na ba�lanarak kullan�c� ad� kontrol� yap�yor.

JaasTest uygulamam�za bu mod�llere eri�ip kullanacak LoginContext’i tan�ml�yoruz.

JaasTest.java

...
/* JAAS s�n�flar� */
import java.security.*;
import javax.security.auth.*;
import javax.security.auth.login.*;

...

        try {
            // LoginModule ile haberle�ecek olan s�n�f
            ConsoleCallbackHandler cbh = new ConsoleCallbackHandler();

            LoginContext lc = new LoginContext("Ornek", cbh);

            try {
            	// LoginModule i�inde login metodunu kendimize uygun �ekilde
            	// tan�mlayaca��z.
                lc.login();

		// Subject : kimlik denetimi bilgilerini i�eren nese
                subject = lc.getSubject();

		// Principal : Yetkili olan ki�iler vb.
                Iterator it = subject.getPrincipals().iterator();

		// Credential : Yetkiler, haklar vb.
                it = subject.getPublicCredentials(Properties.class).iterator();

		...
		// Program�n �al��ma rutinleri

		// Program ��k���nda
                lc.logout();
            } catch (LoginException lex)
	    {
              ....
            }

        } catch (Exception ex)
	{
            ...
        }

        System.exit(0);
    }

Temel anlamda kullan�lan s�n�f ve metotlar b�yle…
�imdi MySQL veritaban�na ba�lan�p kontrol yapan login mod�l�m�ze bakal�m.

DBLoginModule.java

...

import java.security.*;
import javax.security.auth.spi.LoginModule;
import javax.security.auth.login.LoginException;
import javax.security.auth.Subject;
import javax.security.auth.callback.*;

...

public class DBLoginModule implements LoginModule
{

    // initial state
    CallbackHandler callbackHandler;
    Subject  subject;

...

    public void initialize(Subject subject, CallbackHandler callbackHandler,
            Map sharedState, Map options)
    {
      // �n i�lemler
    }

    public boolean login() throws LoginException
    {
	// veritaban�na ba�lan�p yap�lacak kontroller
	// Buraya ak�ll� kart, parmak izi okuyucu vb.
	// kontrolleri eklenebilir
    }

    public boolean commit() throws LoginException
    {
       // Otomatikmen �al���r
       // login i�lemi do�ru yap�ld� ise true, de�ilse false d�nd�r�r
    }

    public boolean abort() throws javax.security.auth.login.LoginException
    {
      // i�lem ba�ar�s�z  oldu�unda buras� �al���r
    }

    public boolean logout() throws javax.security.auth.login.LoginException
    {
      // uygulamadan ��k��ta yetkileri temizler
    }
}

Bu �rnekte veritaban�na ba�land�k. Sadece LoginModule ve jaas.config dosyalar�nda de�i�iklik yap�larak istenen kontrol y�ntemi uygulanabilir. B�ylelikle uygulamam�z�n kaynak koduna m�dahale etmeden g�venlik kontrol� ekleyebiliriz.

JAAS konusunda bilgilenmek isteyenler i�in maalesef T�rk�e dok�man yok. Ancak �ngilizce olarak �u bilgilendirici sunum, �u yaz�, Sun sitesindeki orijinal k�lavuz faydal� olabilir. Ayr�ca veritaban�na ba�lanan, ak�ll� kart okuyucudan bilgi alan, parmak izi okuyucuya ba�lanan �rnekler incelenebilir.

Yorum (0)

JAAS – Java ile kimlik kontrol�

Ara

Kategoriler

Arşiv