在Riena中使用安全
在Riena中使用安全?

安全包括很多方面。本文档只会涉及认证，授权和处理会话（Session )。不包括SSL证书，加密等内容。 Java已经提供了一堆处理认证和授权的类。

Principal Subject Permission SecurityManager?? LoginModule?? CallbackHandler?? Callback 同时也提供了，验证授权的策略提供者。

这个API和类就是JAAS。Riena会使用JAAS类。另外有一个叫equinox.security的处于孵化状态的项目。他是JAAS在eclipse世界中的一个封装。因为该项目的成熟度还不高，所以Riena就直接使用JAAS。等该项目成熟后再切换过去。在Riena中使用Jaas的难点在于如何在分布式场景中初始化JAAS，那些代码在客户端运行，那些代码在服务端运行。Jaas可以用户分布式场景，但是没有专门支持。Riena就填补了这一块。

认证?

在Riena中认证有如下几个步骤：

客户端拥有他自己的本地的LoginModule?（LoginModule?? Client）和本地的CallbackHandler?(都是标准的JAAS类)。 本地的LoginModule?定义他自己的callback(例如name,password) 本地的CallbackHandler?为上面的callback提供值（比如从界面获取的数据） 因为本地没有验证数据，所以本地LoginModule?不能验证。那么它就通过WebService?去调用服务端的Login。 服务端的认证Webservice就去调用服务端的LoginModule? 服务端LoginModule?再次定义callback，他们应该是和客户端的LoginModule?所定义的一样。 authentication webservice 服务端的LoginModule?就像平常一样来验证客户端传来的数据。 如果验证成功，远端Login Module将会产生一个Principal对象并把他添加到本地Subject。 Authentication 服务，让SessionService?产生一个sessionid,并把Subject存到会话仓库（Session store）中 最后把Subject作为调用方法的返回值返回给客户端。并把Session id作为远程服务通讯协议的一部分返回给客户端。

?

说明：该系列文章我把他放到 Rienacn这个项目中。 http://code.google.com/p/rienacn/。 欢迎各位的宝贵意见。

?