![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
消息层认证
定义凭证信息并通过网络发送该信息,以便接收服务器可以解释它。
当使用令牌通过网络发送认证信息时,就认为此传输是消息层认证,这是因为数据与服务上下文中的消息一起发送。
纯 Java™ 客户机将使用 Kerberos (KRB5) 或基本认证,或类属安全性服务用户名密码 (GSSUP) 作为认证机制来建立客户机标识。
但是,servlet 可以使用基本认证 (GSSUP) 或者服务器的认证机制 Kerberos (KRB5) 或“轻量级第三方认证” (LTPA) 来发送消息层中的安全信息。通过认证或将基本认证凭证映射至服务器的安全性机制来使用 KRB5 或 LTPA。
基于令牌的凭证中包含的安全性令牌特定于认证机制。仅认证机制了解解释令牌的方法。因此,每个认证机制具有一个代表它的对象标识 (OID)。OID 和客户机令牌发送到服务器,因此服务器在读和验证此令牌时知道要使用哪一机制。以下列表包含每个机制的 OID:
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
![[z/OS]](../images/ngzos.gif)
BasicAuth(GSSUP):oid:2.23.130.1.1.1
KRB5: OID: 1.2.840.113554.1.2.2
LTPA: oid:1.3.18.0.2.30.2
SWAM: 没有 OID,因为它是不可转发的
com.ibm.CORBA.authenticationTarget
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
![[z/OS]](../images/ngzos.gif)
配置认证重试
如果您错误输入了用户标识和密码,或者客户机上发生了特定错误时您要重试某个方法,那么就会发生您希望再次显示提示的情况。如果您可以通过客户机端的信息更正错误,那么系统自动执行重试而客户机看不到此故障(如果适当配置系统的话)。
- 输入无效的用户标识和密码
- 服务器上有到期凭证
- 无法在服务器上找到有状态的会话
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
![[z/OS]](../images/ngzos.gif)
基本认证登录的立即验证
在 WebSphere Application Server V6.x 中,request_login 期间为 BasicAuth 登录定义行为。在 V5 之前的发行版中,BasicAuth 登录获取通过 loginSource 方法输入的用户标识和密码,并创建 BasicAuth 凭证。 如果用户标识或密码无效,那么直到尝试第一个方法请求时,才找出此客户机程序。当在提示或程序化登录期间指定用户标识或密码时,缺省情况下,使用安全服务器认证用户标识和密码,并返回结果 True 或 False。如果为 False,org.omg.SecurityLevel2.LoginFailed 异常会返回给客户机,表明用户标识和密码无效。如果为 True,那么BasicAuth凭证会返回给 request_login 的调用者。要在纯客户机上禁用此功能,指定 com.ibm.CORBA.validateBasicAuth=false。缺省情况下,此功能设置为 True。在服务器端,在安全性动态属性中指定此属性。