Application Security 2.0

此功能部件支持保护服务器运行时环境和应用程序;它包括基本用户注册表。此功能部件取代 appSecurity-1.0,不包括 servlet-3.0 或对 LDAP 用户注册表的支持。要保护 Web 应用程序,请添加 servlet-3.0 功能部件。要保护 EJB 应用程序,请添加 ejbLite-3.1 功能部件。要使用 LDAP,请添加 ldapRegistry-3.0 功能部件。将 appSecurity-2.0 功能部件添加到服务器时,您需要配置用户注册表,例如基本用户注册表或 LDAP 用户注册表。

启用此功能部件

要启用 Application Security 2.0 功能部件,请在 server.xml 文件的 featureManager 元素内添加以下元素声明:
<feature>appSecurity-2.0</feature>

受支持的 Java™ 版本

  • JavaSE-1.6
  • JavaSE-1.7
  • JavaSE-1.8

开发依赖于此功能部件的功能部件

如果您要开发依赖于 Application Security 2.0 功能部件的功能部件,请在新功能部件的功能部件清单文件的 Subsystem-Content 头中添加以下项:
com.ibm.websphere.appserver.appSecurity-2.0; type="osgi.subsystem.feature"

此功能部件启用的功能部件

功能部件配置元素

可在 server.xml 文件中使用以下元素以配置 Application Security 2.0 功能部件:

administrator-role
分配有服务器管理员角色的用户和/或组的集合。
administrator-role > group
描述:分配有角色的组。
必需:false
数据类型:字符串
administrator-role > user
描述:分配有角色的用户。
必需:false
数据类型:字符串
authCache
控制认证高速缓存的操作。
属性名称 数据类型 缺省值 描述
allowBasicAuthLookup 布尔型 true 允许凭借用户标识和散列密码进行查找。
initialSize int

最小值:1

50 受认证高速缓存支持的初始条目数。
maxSize int

最小值:1

25000 受认证高速缓存支持的最大条目数。
timeout 具有毫秒精度的时间段 600s 在其后将除去高速缓存中的条目的时间量。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。
authentication
控制内置认证服务配置。
属性名称 数据类型 缺省值 描述
allowHashtableLoginWithIdOnly 布尔型 false 允许应用程序仅使用散列表属性中的标识进行登录。仅当具有需要此许可并且具有其他方法来验证该标识的应用程序时,才请使用此选项。
cacheEnabled 布尔型 true 启用认证高速缓存。
basicRegistry
基于 XML 的简单用户注册表。
属性名称 数据类型 缺省值 描述
id 字符串   唯一配置标识。
ignoreCaseForAuthentication 布尔型 false 允许不区分大小写的用户名认证。
realm string BasicRegistry 域名表示用户注册表。
basicRegistry > group
描述:唯一配置标识。
必需:false
数据类型:
属性名称 数据类型 缺省值 描述
id 字符串   唯一配置标识。
name string   基本用户注册表中组的名称。
basicRegistry > group > member
描述:唯一配置标识。
必需:false
数据类型:
属性名称 数据类型 缺省值 描述
id 字符串   唯一配置标识。
name string   基本用户注册表组中用户的名称。
basicRegistry > user
描述:唯一配置标识。
必需:false
数据类型:
属性名称 数据类型 缺省值 描述
id 字符串   唯一配置标识。
name string   基本用户注册表中用户的名称。
password 一种方式的可散列或可逆向编码的密码(字符串)   基本用户注册表中用户的密码。可采用明文或编码格式存储该值。建议您对该密码进行编码。为此,请将 securityUtility 工具与编码选项配合使用。
classloading
全局类装入
属性名称 数据类型 缺省值 描述
useJarUrls 布尔型 false 是将 jar: URL 还是将 wsjar: URL 用于引用归档中的文件
jaasLoginContextEntry
JAAS 登录上下文条目配置。
属性名称 数据类型 缺省值 描述
id 字符串   唯一配置标识。
loginModuleRef 对顶级 jaasLoginModule 元素的引用的列表(以逗号分隔的字符串)。 hashtable,userNameAndPassword,certificate,token 对 JAAS 登录模块的标识的引用。
name string   JAAS 配置条目的名称。
jaasLoginModule
JAAS 配置中的登录模块。
属性名称 数据类型 缺省值 描述
className string   JAAS 登录模块类的标准包名。
controlFlag
  • SUFFICIENT
  • REQUISITE
  • REQUIRED
  • OPTIONAL
REQUIRED 登录模块的控制标志。有效值包括 REQUIRED、REQUISITE、SUFFICIENT 和 OPTIONAL。
SUFFICIENT
此登录模块对于每个 JAAS 规范而言已经够用。此登录模块不必成功。如果认证成功,那么将不会调用任何其他登录模块,并且会将控制权返回给调用者。
REQUISITE
此登录模块是每个 JAAS 规范的必需项。该登录模块必须成功。如果认证失败,那么将不会调用任何其他登录模块,并且会将控制权返回给调用者。
REQUIRED
按照 JAAS 规范,此登录模块为必需的 (REQUIRED) 模块。该登录模块必须成功。
OPTIONAL
此登录模块是每个 JAAS 规范的可选项。此登录模块不必成功。
id 字符串   唯一配置标识。
libraryRef 对顶级 library 元素的引用(字符串)。   对共享库配置的标识的引用。
jaasLoginModule > library
描述:对共享库配置的标识的引用。
必需:false
数据类型:
属性名称 数据类型 缺省值 描述
apiTypeVisibility string spec,ibm-api,api 此库的类装入器将能够看到的 API 包的类型,其格式为下列项的任何组合的逗号分隔列表:规范、ibm-api、api 和第三方。
description string   管理员的共享库的描述
filesetRef 对顶级 fileset 元素的引用的列表(以逗号分隔的字符串)。   所引用文件集的标识
name string   管理员的共享库的名称
jaasLoginModule > library > file
描述:所引用文件的标识
必需:false
数据类型:
属性名称 数据类型 缺省值 描述
id 字符串   唯一配置标识。
name 文件路径   标准文件名
jaasLoginModule > library > fileset
描述:所引用文件集的标识
必需:false
数据类型:
属性名称 数据类型 缺省值 描述
caseSensitive 布尔型 true 指示搜索是否应区分大小写的布尔值(缺省值:true)。
dir 目录路径 ${server.config.dir} 用于搜索文件的基本目录。
excludes string   要排除在搜索结果以外的文件名模式的逗号或空格分隔列表,缺省情况下不排除任何文件。
id 字符串   唯一配置标识。
includes string * 要包含在搜索结果中的文件名模式的逗号或空格分隔列表(缺省值:*)。
scanInterval 具有毫秒精度的时间段 0 检查文件集更改的扫描时间间隔,格式为长整形加上时间单位后缀(h 表示小时、m 表示分钟、s 表示秒、ms 表示毫秒),例如,2ms 或 5s。缺省情况下为禁用 (scanInterval=0)。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。
jaasLoginModule > library > folder
描述:所引用文件夹的标识
必需:false
数据类型:
属性名称 数据类型 缺省值 描述
dir 目录路径   要包含在用于定位资源文件的库类路径中的目录或文件夹
id 字符串   唯一配置标识。
jaasLoginModule > options
描述:JAAS 登录模块选项的集合
必需:false
数据类型:
library
共享库
属性名称 数据类型 缺省值 描述
apiTypeVisibility string spec,ibm-api,api 此库的类装入器将能够看到的 API 包的类型,其格式为下列项的任何组合的逗号分隔列表:规范、ibm-api、api 和第三方。
description string   管理员的共享库的描述
filesetRef 对顶级 fileset 元素的引用的列表(以逗号分隔的字符串)。   所引用文件集的标识
id 字符串   唯一配置标识。
name string   管理员的共享库的名称
library > file
描述:所引用文件的标识
必需:false
数据类型:
属性名称 数据类型 缺省值 描述
id 字符串   唯一配置标识。
name 文件路径   标准文件名
library > fileset
描述:所引用文件集的标识
必需:false
数据类型:
属性名称 数据类型 缺省值 描述
caseSensitive 布尔型 true 指示搜索是否应区分大小写的布尔值(缺省值:true)。
dir 目录路径 ${server.config.dir} 用于搜索文件的基本目录。
excludes string   要排除在搜索结果以外的文件名模式的逗号或空格分隔列表,缺省情况下不排除任何文件。
id 字符串   唯一配置标识。
includes string * 要包含在搜索结果中的文件名模式的逗号或空格分隔列表(缺省值:*)。
scanInterval 具有毫秒精度的时间段 0 检查文件集更改的扫描时间间隔,格式为长整形加上时间单位后缀(h 表示小时、m 表示分钟、s 表示秒、ms 表示毫秒),例如,2ms 或 5s。缺省情况下为禁用 (scanInterval=0)。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。
library > folder
描述:所引用文件夹的标识
必需:false
数据类型:
属性名称 数据类型 缺省值 描述
dir 目录路径   要包含在用于定位资源文件的库类路径中的目录或文件夹
id 字符串   唯一配置标识。
ltpa
轻量级第三方认证 (LTPA) 令牌配置。
属性名称 数据类型 缺省值 描述
expiration 具有分钟精度的时间段 120m 令牌到期之前的时间量,以分钟计。. 指定后跟时间单位的正整数,时间单位可以是小时 (h) 或分钟 (m)。例如,以 30m 的形式指定 30 分钟。可将多个值包括在单个条目中。例如,1h30m 相当于 90 分钟。
keysFileName 文件路径 ${server.output.dir}/resources/security/ltpa.keys 包含令牌密钥的文件的路径。
keysPassword 可逆向编码的密码(字符串) {xor}CDo9Hgw= 令牌密钥的密码。可采用明文或编码格式存储该值。要对该密码进行编码,建议将 securityUtility 工具与编码选项配合使用。
monitorInterval 具有毫秒精度的时间段 0ms 服务器检查 LTPA 令牌密钥文件更新的速率。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。
quickStartSecurity
简单管理安全性配置
属性名称 数据类型 缺省值 描述
userName string   在快速启动安全性配置中定义了单一用户。此用户被授予管理员角色。
userPassword 可逆向编码的密码(字符串)   在快速启动安全性配置中定义的单一用户的密码。建议您对此密码进行编码。为此,请将 securityUtility 工具与编码选项配合使用。

用于指示主题类型的图标 参考主题

信息中心的条款和条件 | 反馈


时间戳记图标 最近一次更新时间: Wednesday, 2 September 2015
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=rwlp_feature_appSecurity-2.0
文件名:rwlp_feature_appSecurity-2.0.html