WebLogic提供一套功能全面的安全服务这些服务可以从各个方面保护域及其部署这些安全服务影响到域的所有方面从Java Security Manager提供的最底层安全性到连接级别的安全性再到应用级别的安全性(可以保护所管理和部署的对象比如EJBweb服务和JDBC池)最后到域级别的安全性(可以建立两个域之间的信任)这些安全服务的目标是个截然不同的用户群可以使用服务来保护其应用程序的应用程序开发人员需要为系统和部署配置安全性的管理员以及可以修改和扩展WebLogic所提供的功能的安全性供应商
让我们从JVM层开始在这一层Java Security Manager使用一个安全性策略文件来限制对特定的运行时操作的访问这确保了运行在JVM(包括WebLogic Server本身)上的程序仅可以许可方式访问受保护的资源例如可以配置Java Security Manager以便让所有线程都拥有仅对于文件系统中特定目录的写权限通过允许为资源适配器和EJB定义另外的安全策略WebLogic增强了Security Manager从而确保了这些组件能够只访问已定义的资源还有一些其他的全局高级安全性权限可以应用于这些资源和应用程序代码
WebLogic可以从客户端过滤连接请求连接过滤器定义了一些规则规定了如何确定服务器是接受还是拒绝客户端连接这些规则基于几个参数这些参数通常包括客户端的IP地址和端口用于建立连接的协议以及服务器的监听地址和端口可以为一台服务器指定多个连接过滤器甚至可以编写自己的连接过滤器类来实现定制的过滤逻辑例如通过使用连接过滤器可以很容易地确保服务器只接受来自内部网的T连接SSL安全性是另一种可在套接字层上使用的机制我们在章中已经讲述过这种机制SSL可以通过支持数据完整性机密性和身份验证保护给定的网络通信
WebLogic部分地支持标准的JAASJAAS框架是对JSE v的一种标准扩展现在已成为JSE v平台的一部分身份验证使服务器可以验证运行Java代码的用户的身份不论它是appletservletEJB还是应用程序授权则使服务器能够基于用户的身份安全权限和策略实施访问控制WebLogic允许Java客户端使用JAAS身份验证而且逻辑模块也是使用JAAS实现的如果需要使用JAAS授权就必须在WebLogic的基础架构上编写自己的模式
WebLogic的安全性基础架构建立在一组模块化的可扩展的安全服务提供程序接口(security service provider interfaces SSPI)之上这种架构允许插入新的安全提供程序替换旧的并可以与用户自己的提供程序一起运行WebLogic的默认提供程序WebLogic发行文件配备了一组安全提供程序为SSPI提供默认实现WebLogic的安全提供程序为JEE应用程序实现了底层安全性框架也就是说标准的JEE定义的安全机制是通过SSPI实现(和扩展)的通常WebLogic的安全提供程序会改进现有的安全约束例如标准的ejbjarxml部署描述符允许限定只有具有特定角色的已通过身份验证的用户才能访问某个EJB方法WebLogic允许改进这种约束确保用户只在一天中的某些时段具有访问权事实上SSPI是一种开放的架构可以很容易地插入来自某家安全供应商的第三方安全提供程序另外还可以通过实现自己的安全提供程序来构建新的安全服务
WebLogic默认的安全提供程序功能相当全security realm(安全域)就是一个用户组角色安全策略的逻辑分组以及一整套安全提供程序为服务器资源指定的安全策略可用于确定授权谁访问资源WebLogic使用户可以保护所有的资源单个EJB方法web应用程序web页面的集合连接池数据源或者任何受管理的对象甚至可以保护JNDI树中的分支从而防止未得到授权的客户端在JNDI树中查找对象所有这些安全数据都保存在一台嵌入式LDAP服务器中还可以配置WebLogic来使用外部的LDAP库比如Open LDAPActive Directory或Novell NDS这些外部库只能用于身份验证而不能用于授权
最后WebLogic允许在两个域之间建立一种信任机制这确保了一个域中已通过身份验证的用户可以访问另一个域中的资源
本章分析了所有这些安全机制尽管它们彼此大相迥异但是它们互相补充得非常好我们从考察Java Security Manager和WebLogic如何过滤连接请求开始然后分析WebLogic的身份验证和授权框架并了解它如何支持标准的JEE安全服务我们还切换使用了安全域中可用的各种安全提供程序以及它们的默认实现最后我们将考察如何使用JAAS进行身份验证并举一个Authentication 和Identity Assertion提供程序的例子
Java Security Manager
在JVM层上WebLogic可以使用标准的Java Security Manager来防止不受信任的代码执行有害的动作可以使用安全策略文件来配置JVM以便让运行在JVM上的所有线程都能够受限制地访问敏感的运行时操作安全策略文件封装了一组权限这些权限将授予给当前的JVM实例中加载的所有类(或者取消)可以定义一整套安全权限来控制对特定资源的访问——例如对于文件系统上某个文件夹的写(write)访问权限对于特定主机和特定范围的端口的连接(connect)访问权限对于环境变量的读(read)访问权限对于当前类加载器的获取(get)访问权限等等要获得更多关于Security Manager和安全策略文件的信息请参考JDK说明文档
Java的Security Manager确保运行在WebLogic中的任意代码都仅可以许可的方式访问这些重要资源这种低级的访问控制对于第三方不受信任代码可能很有用Java Security Manager还可以与JEE部署设置交互例如可以使用标准的raxml部署描述符来定义应用于资源适配器的安全权限WebLogic也为web应用程序和EJB提供类似的访问控制
注意WebLogic需要有一个可用的策略文件才可以运行startWebLogic脚本用于加载默认位于WL_HOME/server/lib/weblogic Policy下的策略文件
配置Security Manager
为了使用Java Security Manager需要在启动WebLogic Server时从命令行提供两个选项
必须使用–Djavasecuritymanager选项以确保安装了默认的安全管理器而且JVM通过了策略检查
必须使用–Djavasecuritypolicy选项以指定安全策略文件的位置
默认情况下JVM使用定义在javasecurity和javapolicy文件(位于JAVA_HOME/jre/lib/security文件夹中)中的安全策略下面是使用定制的安全策略文件启动WebLogic Server的语法
java –Djavasecuritymanager –Djavasecuritypolicy==c:oreillypolicy
weblogicServer
WebLogic创建的默认启动脚本引用了位于WL_HOME/server/lib/weblogicpolicy下的示例安全策略文件注意指定javasecuritypolicy参数时我们使用了==(双等号)这使得Security Manager使用c:oreillypolicy作为它惟一的策略源如果我们只使用一个等号该策略文件就会与JDK安装所提供的默认安全策略文件一起使用
通常JVM将使用安全策略文件对运行在WebLogic中的任意代码实施访问控制这条规则惟一的例外是在WebLogic Server启动时当服务器启动时WebLogic部分地禁用了Java Security Manager并使用一个禁用checkRead()方法的变体来替换它虽然这种方法改进了启动顺序的性能但是它也会降低JVM在启动期间的安全性另外它意味着WebLogic的启动类将使用这个修改过的安全管理器运行需要确保这些类不会导致破坏安全性
注因为策略文件决定了运行在WebLogic的JVM中的所有类的访问权限所以建议只有管理员才能读写安全策略文件不应该允许其他用户访问策略文件
全局安全策略
WebLogic允许为EJB资源适配器和weblogicpolicy文件中的web应用程序定义安全策略表列出了为这些组件类型定义默认权限所用的代码基址
表 应用于JEE组件的访问权限的默认代码基址
可以使用这些代码基础对特定的JEE组件类型授予特殊的权限注意在这些代码基址下定义的任何安全策略都可以应用于所有的EJB资源适配器和部署到特定的服务器实例的web应用程序
特定于应用程序的安全策略
还可以定义特定于某个EJB组件或资源适配器的安全策略从而确保只以特定的组件为目标为此必须修改它们的部署描述符而不是策略文件本身资源适配器支持这种作为JEE标准一部分的机制只需修改标准的raxml描述符文件对于EJB需要修改weblogicejbjarxml描述符文件两种情况中都是securitypermission元素允许用户定义另外的安全策略
让我们看一看如何为EJB指定权限weblogicejbjarxml描述符中的securitypermission元素指定了应用于打包在EJB JAR中的所有EJB的安全权限下面的例子授予服务器文件系统中的一个临时目录对EJB的读和写的访问权限
<weblogicenterprisebean>
<! webLogic enterprise bean statements go here >
</weblogicenterprisebean>
<securityroleassignment>
<! the optional security role assignments go here >
</securityroleassignment>
<securitypermission>
<description>
grant permission to special folder
</description>
<securitypermissionspec>
grant {
permission javaioFilePermission
f:
