LoginModule
身份验证技术提供商的服务提供商界面。 LoginModule插入应用程序下以提供特定类型的身份验证。
当应用程序写入LoginContext
API时,身份验证技术提供程序会实现LoginModule
接口。 A Configuration
指定要与特定登录应用程序一起使用的LoginModule。 因此,可以在应用程序下插入不同的LoginModule,而无需对应用程序本身进行任何修改。
LoginContext
负责读取Configuration
并实例化相应的LoginModule。 每个LoginModule
初始化为Subject
,一个CallbackHandler
,共享LoginModule
状态,并且特定LoginModule的选项。 Subject
表示当前正在进行身份验证的Subject
,如果身份验证成功,则会使用相关凭据进行更新。 LoginModules使用CallbackHandler
与用户进行通信。 例如, CallbackHandler
可用于提示用户名和密码。 请注意, CallbackHandler
可能为null。 LoginModules绝对需要CallbackHandler
来验证Subject
可能会抛出LoginException
。 LoginModules可选择使用共享状态来相互共享信息或数据。
LoginModule特定选项表示管理员或用户在登录Configuration
为此LoginModule
配置的选项。 这些选项由LoginModule
本身定义,并控制其中的行为。 例如, LoginModule
可以定义支持调试/测试功能的选项。 使用键值语法定义选项,例如debug = true 。 LoginModule
将选项存储为Map
以便可以使用密钥检索值。 请注意, LoginModule
选择定义的选项数量没有限制。
调用应用程序将身份验证过程视为单个操作。 但是, LoginModule
的身份验证过程LoginModule
两个不同的阶段。 在第一个阶段,LoginModule的login
方法得到由LoginContext的调用login
方法。 该login
的方法LoginModule
然后执行实际的身份验证(提示和验证例如密码),并保存为私有状态信息其认证状态。 完成后,LoginModule的login
方法返回true
(如果成功)或false
(如果应该忽略),或者抛出LoginException
指定失败。 在失败的情况下, LoginModule
不得重试身份验证或引入延迟。 此类任务的责任属于该应用程序。 如果应用程序尝试重试身份验证,则将再次调用LoginModule的login
方法。
在第二阶段,如果LoginContext的整体认证成功(相关的REQUIRED,REQUISITE,SUFFICIENT和OPTIONAL LoginModules成功),则调用LoginModule
的commit
方法。 用于LoginModule
的commit
方法检查其私有保存状态以查看其自身的身份验证是否成功。 如果整体LoginContext
身份验证成功并且LoginModule自己的身份验证成功,则commit
方法将相关主体(经过身份验证的身份)和凭据(身份验证数据,如加密密钥)与位于Subject
内的LoginModule
。
如果LoginContext的整体身份验证失败(相关的REQUIRED,REQUISITE,SUFFICIENT和OPTIONAL LoginModule未成功),则会调用每个LoginModule
的abort
方法。 在这种情况下, LoginModule
会删除/销毁最初保存的任何身份验证状态。
注销Subject
只涉及一个阶段。 LoginContext
调用LoginModule的logout
方法。 该logout
的方法LoginModule
然后执行退出过程,诸如从除去校长或凭证Subject
或记录会话信息。
LoginModule
实现必须具有不带参数的构造函数。 这允许加载LoginModule
类实例化它。
推荐阅读