【正文】 包含 Lotus Notes、個人記錄或銀行帳戶。f 保險庫段27 / 55保險庫段被標(biāo)志為管理員管理或用戶管理。當(dāng) portlet（代表門戶網(wǎng)站用戶）可以設(shè)置和檢索兩種類型的段的憑證時，允許它們僅能在用戶管理的保險庫段中創(chuàng)建保險庫槽。下圖顯示如何在不同的保險庫實現(xiàn)中分布管理員管理的保險庫段。僅有一個用戶管理的保險庫段，并且駐留在 WebSphere Portal 提供的保險庫中。保險庫實現(xiàn)保險庫服務(wù) WebSphere Portal 保險庫用戶管理的段（U） 槽 Ua 槽 Ub 槽 Uc 管理員管理段（A1） 槽 A1a 槽 A1b 槽 A1c 管理員管理段（A2） 其它保險庫實現(xiàn) 槽 A2a 槽 A2b 槽 A2c 28 / 55 保險庫槽WebSphere Portal 提供的憑證保險庫可以分辨保險庫槽的四種不同類型： ? 系統(tǒng)槽存儲所有用戶和 portlet 共享實際機(jī)密的系統(tǒng)憑證。 ? 管理槽允許每個用戶存儲一個管理員定義的資源（例如，Lotus Notes）的機(jī)密 ? 共享槽存儲用戶 portlet 共享的用戶憑證。 ? portlet 專用槽存儲非 portlet 共享的用戶憑證。 憑證對象CredentialVault PortletService 以憑證對象格式返回憑證： WebSphere Portal 區(qū)分被動憑證對象和主動憑證對象：? 被動憑證對象是憑證機(jī)密的容器：使用被動憑證的 portlet 需要從憑證中抽取保密信息，并它自己與后端進(jìn)行所有的認(rèn)證通信。 示例：被動憑證對象使用（偽代碼）Object userSecret = ()。 portlet connects to backend system authenticates using the user39。s secret portlet can use the connection to municate with the backend application portlet takes care of logging at the backend ? 主動憑證對象向 portlet 隱藏憑證的保密信息；無法從憑證中抽取保密信息。而主動憑證對象又提供看管所有認(rèn)證的商務(wù)方法。 29 / 55示例：主動憑證對象使用（偽代碼）// log into the backend system ()// get an authenticated connection to work with URLConnection = ()。// log out at the back end()。第二種情況允許 portlet 使用諸如基本認(rèn)證、基于 HTTP 表單的認(rèn)證，或 POP3 認(rèn)證的標(biāo)準(zhǔn)機(jī)制來觸發(fā)對遠(yuǎn)程服務(wù)器的認(rèn)證，甚至無需知道憑證機(jī)密。他們可以請求門戶網(wǎng)站代表他們來認(rèn)證，然后使用已經(jīng)認(rèn)證的連接。從安全性的觀點來看，portlet 從不與憑證機(jī)密接觸，因此不存在 portlet 可能違反任何諸如在 portlet 會話中存儲機(jī)密的安全性規(guī)則的風(fēng)險。盡管不可能總是有適當(dāng)可用的主動憑證類，它是將要使用的憑證對象的首選類型。在憑證類型注冊表中注冊所有門戶網(wǎng)站中可用的憑證類型。WebSphere Portal 提供憑證類型的一個小的集合，但是可以在該注冊表中容易地注冊附加憑證對象。與當(dāng)前發(fā)行版一起提供的憑證類為： 被動憑證對象：SimplePassive 該憑證對象以序列化的 Java 對象的格式存儲機(jī)密。由于當(dāng)前保險庫服務(wù)不支持二進(jìn)制大對象（BLOB）機(jī)密，此對象僅為將來使用。 UserPasswordPassive 以用戶標(biāo)識／密碼對的格式存儲機(jī)密的憑證對象。 JaasSubjectPassive 以 對象的格式存儲機(jī)密的憑證對象。再次，當(dāng)前30 / 55此類機(jī)密無法由保險庫服務(wù)存儲。 主動憑證對象：HttpBasicAuth 該憑證對象存儲用戶標(biāo)識／密碼機(jī)密并支持 HTTP 基本認(rèn)證。 HttpFormBasedAuth 該憑證對象存儲用戶標(biāo)識／密碼機(jī)密并支持基于 HTTP 表單的認(rèn)證。 JavaMail 存儲用戶標(biāo)識／密碼對的憑證對象，并且影響 API 的認(rèn)證功能。 LtpaToken 用于向后端系統(tǒng)（與門戶網(wǎng)站位于同一 WebSphere Application Server 單點登錄域中）認(rèn)證的憑證對象。 SiteMinderToken 用于向后端系統(tǒng)（與門戶網(wǎng)站在同一個 SiteMinder 單點登錄域中）認(rèn)證的憑證對象。此憑證應(yīng)該在 SiteMinder 用作門戶網(wǎng)站的認(rèn)證代理時使用。 WebSealToken 用于向后端系統(tǒng)（與門戶網(wǎng)站在同一個 WebSEAL 單點登錄域中）認(rèn)證的憑證對象。此憑證應(yīng)該在門戶網(wǎng)站使用 WebSEAL 認(rèn)證代理時使用。 在 PortletSession 中存儲憑證對象憑證對象不實現(xiàn) － 它們無法簡單地存儲在 PortletSession 中。這是基于安全性原因。憑證類把實際的憑證機(jī)密作為它們的一個專用屬性存儲，所以對應(yīng)用程序服務(wù)器會話數(shù)據(jù)庫有訪問權(quán)的任何人都可以查找到此機(jī)密。然而，只要確保憑證對象沒有在群集中設(shè)置序列化，就可以在 PortletSession 中存儲它。這樣做的一種方法是定義一個憑證容器類，該類把實際的憑證對象作為瞬時成員存儲。然后可以在 PortletSession 中存儲該容器對象而沒有任何問題，僅需要確保檢查序列化期間憑證對象未丟失，如果丟失，再從保險庫檢索它。示例：憑證對象會話容器31 / 55import 。public class CredentialSessionContainer implements {private transient Credential credential = null。public void setCredential(Credential cred) { = cred。}public Credential getCredential() {return credential。}public boolean hasCredential() {return credential != null。}} 憑證保險庫使用方案需要憑證來完成它們的服務(wù)的 portlet 有兩個選項： 使用現(xiàn)有的槽，該槽已經(jīng)由門戶網(wǎng)站管理員在管理員管理的保險庫段定義。 在用戶管理的保險庫段中創(chuàng)建槽。 選擇的選項取決于如何使用 portlet。通常，最好的解決方案向用戶隱藏憑證保險庫的技術(shù)詳細(xì)信息。以下是一些使用槽的示例方案。 內(nèi)部網(wǎng) Lotus Notes 郵件 portlet公司擁有內(nèi)部網(wǎng)雇員門戶網(wǎng)站。每個門戶網(wǎng)站用戶擁有 Lotus Notes 郵件服務(wù)器帳戶，并且將在雇員缺省門戶網(wǎng)站頁面的一頁上部署和預(yù)配置 Lotus Notes 郵件 portlet。設(shè)計解決方案：Notes 郵件 portlet 需要存儲用戶的 Notes 密碼。正如大部分用戶實際上將會使用此 portlet，管理員需要為它創(chuàng)建“Lotus Notes 憑證槽” 。管理員使用 32 / 55portlet 的配置方式為所有 concrete portlet 實例設(shè)置保險庫槽標(biāo)識。portlet 允許用戶在編輯方式下設(shè)置個人 Notes 密碼。portlet 可以在憑證保險庫中存儲每個用戶的密碼。 庫存 portlet公司的購買部門運行一個集成不同的舊應(yīng)用程序的門戶網(wǎng)站。這些應(yīng)用程序之一是直接與供應(yīng)商系統(tǒng)連接的大型機(jī)訂購應(yīng)用程序。幾個雇員使用訂購 portlet。然而，大型機(jī)應(yīng)用程序由單個系統(tǒng)標(biāo)識保護(hù)；它不支持多個用戶帳戶。 設(shè)計解決方案：訂購 portlet 需要使用系統(tǒng)標(biāo)識訪問訂購應(yīng)用程序。portlet 部署期間，管理員配置保險庫槽標(biāo)識。因此，門戶網(wǎng)站管理員在管理員管理的保險庫段中創(chuàng)建保險庫槽，并且把它標(biāo)記為系統(tǒng)憑證。管理員使用憑證保險庫 portlet 在該槽中存儲訂購系統(tǒng)標(biāo)識和密碼。購買部門雇員完全不必關(guān)心憑證。 因特網(wǎng)郵件聯(lián)合 POP3 portlet因特網(wǎng)團(tuán)體門戶網(wǎng)站在其它功能部件中提供門戶網(wǎng)站用戶可以用來從大量的 POP3 郵件帳戶收集郵件的郵件聯(lián)合 portlet。設(shè)計解決方案：郵件聯(lián)合 portlet 僅是團(tuán)體門戶網(wǎng)站的另一個功能部件，因此可能僅由一些門戶網(wǎng)站用戶使用。此外，從一開始就不清楚一個用戶需要聯(lián)合多少郵件帳戶。因此，門戶網(wǎng)站管理員為該 portlet 創(chuàng)建保險庫槽是沒有意義的。相反，portlet 在編輯方式下為用戶提供舒適的配置。用戶可以按需添加任意個 POP3 郵箱。portlet 在用戶管理保險庫段中為每個用戶郵箱創(chuàng)建一個保險庫槽。理論上，用戶可以在一個頁面上配置兩個 portlet 實例，一個用于商務(wù)帳戶，另一個用于專用郵件帳戶。因此，因為與其它 portlet 共享用戶的郵件憑證很可能是沒有意義的，所以 portlet 創(chuàng)建的保險庫槽最好標(biāo)記為 portlet 專用。 憑證保險庫樣本此部分包含使用憑證保險庫服務(wù)的樣本代碼。請參閱 Portlet API Javadoc 33 / 55以獲取有關(guān) CredentialVaultService 的方法的進(jìn)一步信息。 憑證保險庫實現(xiàn)代 碼wp_root/dev/CredentialVault 目錄中的文件 包含可以集成到 portlet 以使用憑證保險庫服務(wù)的代碼段。此部分提供在您自已的 portlet 中使用此代碼的指示信息。請記住這僅是使用憑證保險庫的一個模型。開發(fā)者可以使用 和 軟件包實現(xiàn)保險庫。此處描述的代碼是要允許開發(fā)者實現(xiàn)憑證保險庫并利用單點登錄服務(wù)而無需深入了解服務(wù)是怎樣工作的。編寫您自已的代碼之前，您也可以在測試 portlet 中使用此代碼來探究憑證保險庫服務(wù)是如何工作的。 ? 存儲用戶標(biāo)識和密碼將文件 和 復(fù)制到包含您所有其它源文件的目錄中。 更改這些文件中的軟件包，使它們與其余的 portlet 軟件包相匹配。 從文件 、 和 復(fù)制和粘貼代碼到各自的 portlet 方法。根據(jù)需要，更改 PortletRequest 對象的名稱。將以下導(dǎo)入語句添加到包含 doView() 和 doEdit() 方法的類中。 import .*。復(fù)制文件 的內(nèi)容到您的 的 concrete portlet 定義。 復(fù)制文件 到您的 WAR 文件的 /WEBINF/classes/nls 目錄。 將文件 復(fù)制到包含其余 JSP 頁面的目錄中。更改此文件中的 import 行上的首個軟件包以導(dǎo)入您的 portlet 軟件包。更改 jsp:useBean 標(biāo)記的類屬性以匹配您的 portlet 軟件包中的 類的位置。 34 / 55在您的 portlet JSP 的編輯方式中，添加行： jsp:include page= flush=true /將此行放在任何用戶標(biāo)識和密碼應(yīng)該在頁面上出現(xiàn)的地方。確保它不在 form 標(biāo)記內(nèi)。 注：如果您的 portlet 在 PortletData 上執(zhí)行維護(hù)，請確保它沒有從 PortletData 除去 VAULT_SLOT 和 VAULT_SLOTdescrip 屬性。 ? 抽取機(jī)密現(xiàn)在，必須修改 portlet 以抽取用戶的機(jī)密并用它來代替用戶標(biāo)識和密碼的提示。此樣本中的代碼僅使用用戶標(biāo)識／密碼被動憑證（如需獲取有關(guān)其它憑證類型的信息，請參閱憑證對象） 。 UserPasswordPassiveCredential 對象用作用戶標(biāo)識和密碼的容器。您必須使用 getUserID() 和 getPassword() 方法從此容器中抽取用戶標(biāo)識和密碼。如果沒有設(shè)置機(jī)密信息或者如果發(fā)生了其它異常情況，這些方法將返回空。例如： String adminUserId。 String adminPassword。 try{ adminUserId = (portletRequest)。 adminPassword = (portletRequest)。 } catch(Exception e){ adminPassword = 。 adminUserId = null。 }? 制訂 portlet35 / 55一旦門戶網(wǎng)站管理員安裝了使用此代碼訪問憑證保險庫的 portlet，使用門戶網(wǎng)站管理必需以下步驟。確保為管理員制訂了這些指示信息：a 創(chuàng)建保險庫槽 轉(zhuǎn)至安全性 憑證保險庫選項卡并為 portlet 添加保險庫槽到缺省管理段。記下保險庫槽使用的名稱。此名稱是區(qū)分大小寫的。 b 使用系統(tǒng)或共享的保險庫槽 如果開發(fā) portlet 以使用系統(tǒng)憑證，將它包含在指示信息中。系統(tǒng)憑證旨在用于用戶共享的受保護(hù)資源。管理員必須了解憑證并在創(chuàng)建保險庫槽時，選取共享保險庫槽選項設(shè)置它們。如果使用系統(tǒng)憑證，則 portlet 編輯頁面中的“ 用戶標(biāo)識”和“密碼”字段對于用戶是隱藏的。 c 配置 portlet 訪問保險庫槽 轉(zhuǎn)至 portl