java安全认证机制

JAAS（Java Authentication Authorization Service)是J2SE1.4和1.5的核心API，描绘了新的安全标准，提供了一个可插拔的(pluggable)和富有弹性的(flexible)框架(framework)允许开发者混合不同的安全机制和丰富的已经存在各种安全方面的资源。
伴随着J2SE1.5版本的发布，它包含了许多诸如加密技术、XML安全性、公钥机制（PKI）、Kerberos 和结盟认证（the federating identity）的增强！，JAAS将会在J2EE实现中扮演一个更加重要的角色。在这里可以看出，JAAS对J2EE 支持将会是一个主流，无论是 JSR 196: Java Authentication Service Provider Interface for Containers 还是 JSR 115: Java Authorization Contract for Containers （已经纳入 J2EE 1.4 之中）都是对 container 提供者要求标准的 provider 界面，因此，将来开发相关的程序最好能够遵循 JAAS，在异构平台的整合上, 才能具备完整的相容性。
JAAS 所使用的认证方案以两种非常重要的实体为基础：principal 和 subject。为了惟一标识一个 subject（这是认证的关键部分），一个或者多个 principal 必须与这个 subject 相关联。实际被认证的人或者服务称为 subject。Subject是一种 Java 对象，它表示单个实体，如个人。一个Subject可以有许多个相关身份，每个身份都由一个Principal对象表示。那么，比方说一个Subject表示要求访问电子邮件系统和财务系统的雇员。该Subject将有两个Principal，一个与用于电子邮件访问的雇员的用户标识关联，另一个与用于财务系统访问的用户标识关联。Principal不是持久性的，所以每次用户登录时都必须将它们添加到Subject。Principal作为成功认证过程的一部分被添加到Subject。同样，如果认证失败，则从Subject中除去Principal。不管认证成功与否，当应用程序执行注销时，将除去所有Principal。