DB2 数据库应用中使用受信任上下文

核心提示： JDBC 应用程序中的受信任连接IBM DB2 Driver for JDBC 和 SQLJ 提供了允许在 Java 程序中建立和使用受信任连接的方法，为了避免对安全漏洞的攻击，DB2 数据库应用中使用受信任上下文(7)，使用这些受信任方法的应用服务器不应该使用不受信任的连接方法，DB2C

JDBC 应用程序中的受信任连接

IBM DB2 Driver for JDBC 和 SQLJ 提供了允许在 Java 程序中建立和使用受信任连接的方法。为了避免对安全漏洞的攻击，使用这些受信任方法的应用服务器不应该使用不受信任的连接方法。

DB2ConnectionPoolDataSource 类提供了几种版本的 getDB2TrustedPooledConnection 方法，DB2XADataSource 类提供了几种版本的 getDB2XAConnection 方法，这些方法使应用服务器可以建立初始受信任连接。可以根据传递的连接属性的类型以及是否使用 Kerberos 安全性，选择其中一个方法。当应用服务器调用其中一个方法时，IBM DB2 Driver for JDBC 和 SQLJ 返回一个包含两个元素的 Object[] 数组：

第一个元素包含初始连接的一个连接实例。

第二个元素包含连接实例的一个惟一的 cookie。这个 cookie 是由 JDBC 驱动程序生成的，用于随后的连接重用的身份验证。

DB2PooledConnection 类提供了几种版本的 getDB2Connection 方法，DB2Connection 类提供了几种版本的 reuseDB2Connection 方法，这些方法使应用服务器可以以新用户的身份重用已有的受信任连接。应用服务器使用该方法将以下项目传递给新用户：

来自初始连接的 cookie。

被重用连接的新的连接属性。

JDBC 驱动程序检查提供的 cookie 是否与底层受信任物理连接相匹配，以确保连接请求是由建立受信任的物理连接的应用服务器发起的。如果 cookie 匹配，则这个新用户可以直接用新的连接属性使用该连接。

例 4. 在 JDBC 应用程序中使用受信任连接

#---------------------------------------------------------------------------
#-- JDBC example
#-- Test a Trusted Context on the connection
#---------------------------------------------------------------------------
/* The first item that was obtained from the previous */
getTrustedPooledConnection
/* Call is a connection object. Cast it to a PooledConnection object. */
javax.sql.PooledConnection pooledCon = (javax.sql.PooledConnection)objects[0];
properties = new java.util.Properties();
// Set new properties for the reused object using
// properties.put("property", "value");
// The second item that was obtained from the previous
getTrustedPooledConnection
/* call is the cookie for the connection. Cast it as a byte array. */
byte[] cookie = ((byte[])(objects[1]);
/* Supply the user ID for the new connection. */
String newuser = "newuser";
// Supply the name of a mapping service that maps a workstation user
// ID to a z/OS RACF ID
String userRegistry = "registry";
/* Do not supply any security token data to be traced. */
byte[] userSecTkn = null;
/* Do not supply a previous user ID. */
String originalUser = null;
// Call getDB2Connection to get the connection object for the new
// user.
java.sql.Connection con = ((com.ibm.db2.jcc.DB2PooledConnection)pooledCon).
getDB2Connection(cookie,newuser,password,userRegistry,userSecTkn,originalUser,properties);

结束语

在电子商务领域，很多应用程序依赖于 Domino 和 WebSphere Application Server 之类的中间件服务器提供的安全性，而受信任上下文是为那些应用程序提供安全环境，同时又不必过多降低性能的理想方法。可以通过调优受信任上下文的安全属性，确保对数据库服务器的无懈可击的访问。而且，由于可以以很少的连接资源切换用户，而不需要身份验证，受信任上下文是商业应用程序的理想选择。