如何通过 JAVA Security API 来定性 IBM FileNet P8 内容查询和存储的安全

核心提示： 在 FileNet P8 的认证处理过程中，有两种标准处于核心地位，如何通过 JAVA Security API 来定性 IBM FileNet P8 内容查询和存储的安全(2)，他们分别是 Java Authentication and Authorization Service (JAAS)

在 FileNet P8 的认证处理过程中，有两种标准处于核心地位，他们分别是 Java Authentication and Authorization Service (JAAS) standard 和 Web Services Security standard 。

JAAS 概要

JAAS 提供了一种基于策略的可靠和安全框架；使用了这种可插拔的框架，应用程序，例如 Content Engine，可以和底层的认证技术保持独立。

客户端程序在调用 Content Engine Java API 之前需要获得 JAAS Subject；通过与 Content Engine Java API 的交互来调用 Content Engine EJB。客户端的 JAAS Subject 通过每个 EJB 调用，透明地传递到 J2EE 应用程序服务器端，服务器端验证 JAAS subject，然后批准调用者的身份，之后调用者才能在 Content Engine EJB 中执行代码。在 Content Engine 认证用户时，JAAS 会和 Directory service providers 交互，检验用户是否合法。

WS-Security 概要

Web Service 的核心是 XML，通过 Web Service，不同类型的系统可以进行通信。FileNet 在 Content Engine 服务中提供了 Web Service 接口，从而支持了各种类型的连接。

Web Service 的核心标准之一是 WS-Security 标准。WS-Security web service 定义了三种主要的安全机制：安全令牌传播，消息集成和消息保密。WS-Security 提供了配置文件，这些配置定义了不同类型的安全凭证如何被格式化和插入到 web service 的消息中。

Content Engine 的认证架构

Content Engine 是以 J2EE 应用程序部署的，可以发布在一个或者多个 J2EE 应用程序服务器实例中。这种应用程序的核心组件是：

Content Engine Web Service listener：这个 listener 是以基于 servlet 的应用程序包存在于应用服务器的 web 容器中；来自 web service 的请求在被 WS-Security headers 处理后会传递到 Content Engine EJB 这一层，如下图所示：