31. Java Authentication and Authorization Service (JAAS) Provider

31.1 Overview

Spring Security提供了一个能够将身份验证请求委托给Java身份验证和授权服务(JAAS)的包。这个包将在下面详细讨论。

31.2 AbstractJaasAuthenticationProvider

抽象身份验证提供程序（AbstractJaasAuthenticationProvider ）是所提供的JAAS身份验证提供程序（AuthenticationProvider）实现的基础。子类必须实现一个创建逻辑上下文的方法。抽象JaasAuthenticationProvider有许多可以注入其中的依赖项，下面将对此进行讨论。

31.2.1 JAAS CallbackHandler

大多数JAAS逻辑模块都需要某种回调。这些回调通常用于从用户那里获取用户名和密码。

在Spring Security部署中，Spring Security负责这种用户交互(通过身份验证机制)。因此，当认证请求被委托给JAAS时，Spring Security的身份验证机制已经完全填充了一个身份验证对象，该对象包含JAAS登录模块（LoginModule）所需的所有信息。因此，Spring Security的JAAS包提供了两个默认的回调处理程序，JaasNameCallbackHandler和JaasPasswordCallbackHandler。这些回调处理程序中的每一个都实现了JaasAuthenticationCallbackHandler。在大多数情况下，这些回调处理程序可以在不理解内部机制的情况下简单地使用。

对于那些需要完全控制回调行为的人，内部抽象的JaasAuthenticationProvider用一个InternalCallbackHandler包装这些JaasAuthenticationCallbackHandler。InternalCallbackHandler是实际实现JAAS普通回调处理程序CallbackHandler 接口的类。每当使用JAAS逻辑模块LoginModule 时，它都会被传递一个已配置的应用程序上下文列表，如果登录模块请求对InternalCallbackHandler进行回调，回调将依次传递给正在包装的JaasAuthenticationCallbackHandler。

31.2.2 JAAS AuthorityGranter

JAAS和主角一起工作。在JAAS，甚至连“角色”都被描绘成主角。另一方面，Spring Security与身份验证对象一起工作。每个身份验证对象包含一个主体和多个授权（GrantedAuthority ）。为了便于这些不同概念之间的映射，Spring Security的JAAS包包含了一个授权者（AuthorityGranter）接口。

授权者负责检查JAAS主体并返回一组字符串，代表分配给主体的授权。对于每个返回的授权字符串，抽象JaasAuthenticationProvider创建一个JaasGrantedAuthority(它实现了Spring Security的GrantedAuthority接口)，包含授权字符串和授权者被传递的JAAS主体。抽象身份验证提供程序AbstractJaasAuthenticationProvider 首先使用JAAS登录模块LoginModule成功验证用户的凭据，然后访问它返回的登录上下文LoginContext ，从而获得JAAS主体。对LoginContext.getSubject().getPrincipals()的调用。并将每个生成的主体传递给根据抽象身份验证提供程序.设置授权者(列表)AbstractJaasAuthenticationProvider.setAuthorityGranters(List)属性定义的每个授权者。考虑到每个JAAS原则都有特定于实现的含义，Spring Security不包括任何生产授权者。但是，单元测试中有一个测试授权者，它演示了一个简单的授权者实现。

31.3 DefaultJaasAuthenticationProvider

默认身份验证提供程序DefaultJaasAuthenticationProvider 允许将JAAS配置对象作为依赖项注入其中。然后，它使用注入的JAAS配置创建一个逻辑上下文LoginContext 。这意味着DefaultJaasAuthenticationProvider不像Jaas authentication Provider那样绑定任何特定的配置实现。

31.3.1 InMemoryConfiguration

为了便于将配置注入到DefaultJaasauthenticationProvider中，提供了一个名为InMemoryConfiguration的默认内存实现。实现构造函数接受一个map，其中每个键代表一个登录配置名称，值代表一个应用配置条目数组。内存配置InMemoryConfiguration还支持默认的应用配置条目对象AppConfigurationEntry 数组，如果在提供的Map中没有找到映射，将使用该数组。有关详细信息，请参考InMemoryConfiguration的类级javadoc。

31.3.2 DefaultJaasAuthenticationProvider Example Configuration

虽然在内存配置中的Spring配置可能比标准的JAAS配置文件更详细，但是将它与默认的JaasAuthenticationProvider结合使用比JaasAuthenticationProvider更灵活，因为它不依赖于默认的配置实现。下面提供了一个使用内存配置InMemoryConfiguration 的DefaultJaasauthenticationProvider的配置示例。请注意，配置的自定义实现也可以很容易地注入到DefaultJaasauthenticationProvider中。