授权用户在 Liberty JVM 服务器中运行应用程序

通过在部署描述符 (web.xml) 中提供授权约束 <auth_constraint> 元素来保护应用程序。 如果存在，那么这将确保只有作为授权角色的成员的用户才能访问您的应用程序。 通过以下两种方式之一确定 Java EE 角色的用户或组成员资格:

• 在 server.xml 的 <application> 元素中使用 <application-bnd> 元素，以 XML 格式直接描述用户/组到角色的映射。
• 在 server.xml 中使用 <safAuthorization> 以允许 SAF 映射用户/组角色成员资格 (通常使用 EJBROLES)。

有关更多信息，请参阅 使用 SAF 角色映射进行授权。

如果要独占使用 CICS 事务和资源授权，或者希望在代码中使用基于细颗粒度注释的角色检查，那么可以通过使用特殊主体集 ALL_AUTHENTICATED_USERS 角色将授权决策延迟到这些组件，如以下示例中所示。 如果在 CICS 束中部署 Liberty 应用程序，那么 CICS 会自动为您配置此应用程序。

<application id="com.ibm.cics.server.examples.wlp.tsq.app" 
    name="com.ibm.cics.server.examples.wlp.tsq.app" type="eba" 
    location="${server.output.dir}/installedApps/com.ibm.cics.server.examples.wlp.tsq.app.eba">
	<application-bnd>
		<security-role name="cicsAllAuthenticated">
			<special-subject type="ALL_AUTHENTICATED_USERS"/>
		</security-role>
	</application-bnd>
</application>

如果您正在使用 safAuthorization ，那么 <application-bnd> 不再充当用户标识到角色映射的源。 相反， SAF 中的 EJBROLE 确定哪些 SAF 用户具有哪些角色 (EJBROLE)。 对于 safAuthorization ，将忽略 <application-bnd> 。 要实现相同效果并允许所有已认证的用户有权运行应用程序， web.xml 中的 <auth-constraint> 必须使用特殊角色 **，例如:

<auth-constraint>
        <description>special role for all authenticated users</description>
        <role-name>**</role-name>
</auth-constraint>

• 特殊角色名称 ** 是独立于角色的任何已认证用户的简写。
• 特殊角色名称 * 是部署描述符中定义的所有角色名称的速记。

当授权约束中出现特殊角色名称 ** 时，它指示任何已认证的用户 (独立于角色) 都有权执行受约束的请求。 特殊角色不需要 web.xml中的其他 <security-role> 声明。