はじめに。JBossでDIGEST認証？

JBossは、オープンソースのJava EE Application Server*1です。市販のアプリケーションサーバ製品に引けを取らない性能と使い勝手の良さがあります。JBossはApache TOMCATをサーブレットエンジンとして搭載していますが、ログイン認証のモジュールはJBossのセキュリティフレームワーク(JBoss SX)に委譲するようにできています。*2JBoss 4.0.3まで、JBoss SXはDIGEST認証をサポートしていませんでした。個人的な意見としてコンテナマネジド認証では、DIGESTやBASICを使うよりもFORMを使うことが多いだろうと考えていたのですが、コンテナマネジド認証でDIGEST認証を使う機会に恵まれましたので、せっかくですのでJBoss 4.0.4で新しく実装されたDIGEST認証の機能を使ってみました。

JBossのインストール

JBossでDIGEST認証を使うには、ver. 4.0.4+が必要になります。現在入手できるJBossの最新版バイナリは、4.0.4 CR2ですので、これを入手してインストールします。*3

REALM名の決定

DIGEST認証ではREALM名が重要になります。どんな名前を選んでも良いですが、設定の中で何度か登場しますので、先に決定しておきましょう。ここでは、SampleRealmという名前にすることにします。

login-config.xmlファイルの記述

${JBOSS_HOME}/server/default/conf/login-config.xmlファイルの編集が必要になります。application-policyエレメントのname属性はjboss-web.xmlから参照されることになります。ここでは"SampleRealmDigestという名前に設定した例を示します。login-config.xmlファイルを編集して追加してください。*4

    

       

          

            MD5

            rfc2617

            false

            true

            true

            org.jboss.security.auth.spi.RFC2617Digest

	  

       

    

JBossの起動

編集したlogin-config.xmlが有効になるように、JBossを再起動してください。

web.xmlへの変更

作成するウェブアプリケーションのweb.xmlを編集してDIGEST認証を適用します。

  

    DIGEST

    SampleRealm

  
  

    AuthorizedUsers

  
  

    

      restricted contents

      /secure/*

    

    

      AuthorizedUsers

    

  

この例では、AuthorizedUsersというroleに割り当てられたユーザだけが/secure/以下のコンテンツにアクセスできるようになります。認証はDIGEST認証が使われ、そのRealmはSampleRealmです。

jboss-web.xmlを記述する

web.xmlを配置するのと同じ場所、すなわちWEB-INF/にjboss-web.xmlというファイルを作成します。このファイルでどの認証モジュールのインスタンスを使うかを決定します。今回、SampleRealmDigestというインスタンス名を与えていますから、これを参照するように記述を行います。

  java:/jaas/SampleRealmDigest

DIGEST認証のパスワードとロールを収めるファイルを用意する

DIGEST認証用のパスワードとロールを収めるファイル*5は、users.propertiesとroles.propertiesになります。拡張子からご想像いただけるように、これはJavaのpropertiesファイルの形式を取っています。users.propertiesには、ユーザ名=パスワードの形式。roles.propertiesには、ユーザ名=ロール名*6の形式です。これら二つのファイルは、各アプリケーションのために用意されるクラスローダによって読み込まれます。ですので、WEB-INF/classes以下においてしまっても良いですし、JBoss自体が参照するシステムクラスパスのどこかにいれてしまってもかまいません。しかしながら、開発段階では、やはりWEB-INF/classesディレクトリに配備するのがわかりやすくて良いと思います。

ところで、ここで重要な点が一つあります。users.propertiesに記載するパスワード値なのですが、A1ハッシュと呼ばれる値で格納しなければいけません。これは具体的には以下のようなデータになります。

MD5(ユーザ名:Realm名:平文パスワード)

A1ハッシュの計算

JBossは、このA1ハッシュの値を計算するルーチンを用意してくれていますので、これを使いましょう。
コマンドラインから以下のように入力することでA1ハッシュ値が出力されます。

$ java -cp ${JBOSS_HOME}/server/default/lib/jbosssx.jar org.jboss.security.auth.spi.RFC2617Digest ユーザ名 realm名 パスワード

$ java -cp ${JBOSS_HOME}/server/default/lib/jbosssx.jar org.jboss.security.auth.spi.RFC2617Digest user1 SampleRealm password1

RFC2617 A1 hash: e32f7d1d79180d0b1884d83a5e3f9097

これでA1ハッシュの値を得ることができましたので、これを元にusers.propertiesファイルを作成します。

user1=e32f7d1d79180d0b1884d83a5e3f9097

user1=AuthorizedUsers

ウェブアプリケーションの配備

これでDIGEST認証の設定が完了です。
今回、JBoss 4.0.4のドキュメントがまだ公式にリリースされていませんので、JBossのソース読みながらやってたので、少し手間取ってしまいました。