A.3. SASL 身份验证机制参考

A.3.1. 支持 SASL 身份验证机制的级别

名称支持等级注释

匿名

支持

 

DIGEST-SHA-512

技术预览

支持,但目前未注册 IANA 名称。

DIGEST-SHA-256

技术预览

支持,但目前未注册 IANA 名称。

DIGEST-SHA

技术预览

支持,但目前未注册 IANA 名称。

DIGEST-MD5

支持

 

EXTERNAL

支持

 

GS2-KRB5

支持

 

GS2-KRB5-PLUS

支持

 

GSSAPI

支持

 

JBOSS-LOCAL-USER

支持

支持,但目前未注册 IANA 名称。

OAUTHBEARER

支持

 

OTP

不支持

 

PLAIN

支持

 

SCRAM-SHA-1

支持

 

SCRAM-SHA-1-PLUS

支持

 

SCRAM-SHA-256

支持

 

SCRAM-SHA-256-PLUS

支持

 

SCRAM-SHA-384

支持

 

SCRAM-SHA-384-PLUS

支持

 

SCRAM-SHA-512

支持

 

SCRAM-SHA-512-PLUS

支持

 

9798-U-RSA-SHA1-ENC

不支持

 

9798-M-RSA-SHA1-ENC

不支持

 

9798-U-DSA-SHA1

不支持

 

9798-M-DSA-SHA1

不支持

 

9798-U-ECDSA-SHA1

不支持

 

9798-M-ECDSA-SHA1

不支持

 

A.3.2. SASL 身份验证机制属性

您可以在 Java 文档 中看到标准 Java SASL 验证机制属性列表。下表中列出了其他 JBoss EAP 专用 SASL 身份验证机制属性。

表 A.109. SASL 属性在 SASL 机制或验证交换过程中使用

属性客户端/服务器描述

com.sun.security.sasl.digest.realm

Server

某些 SASL 机制使用(包括大多数 Oracle JDK 提供的 DIGEST-MD5 算法)为机制提供可能的服务器域列表。每个 realm 名称必须用空格字符(U+0020)分隔。

com.sun.security.sasl.digest.utf8

client, server

某些 SASL 机制使用,包括大多数 Oracle JDK 提供的 DIGEST-MD5 算法,以指明信息交换应使用 UTF-8 字符编码而非默认的 Latin-1/ISO-8859-1 编码。默认值为 true

wildfly.sasl.authentication-timeout

Server

服务器应在多长时间内终止身份验证尝试的时间(以秒为单位)。默认值为 150 秒。

wildfly.sasl.channel-binding-required

client, server

表示需要支持频道绑定的机制。值为 true 表示需要频道绑定。任何其它值或缺少这个属性,表示不需要频道绑定。

wildfly.sasl.digest.alternative_protocols

Server

提供替代协议的单独列表,这些协议可在从客户端接收的响应中接受。列表可以是空格、逗号、制表符或以分开的新行。

wildfly.sasl.gssapi.client.delegate-credential

客户端

指定 GSSAPI 机制是否支持凭证委托。如果设置为 true,则凭据从客户端委派给服务器。

如果使用 javax.security.sasl.credentials 属性提供 GSSCredential,则此属性默认为 true。否则,默认值为 false

wildfly.sasl.gs2.client.delegate-credential

客户端

指定 GS2 机制是否支持凭证委派。如果设置为 true,则凭据从客户端委派给服务器。

如果使用 CredentialCallback 提供 GSSCredential,则此属性默认为 true。否则,默认值为 false

wildfly.sasl.local-user.challenge-path

Server

指定服务器在其中生成质询文件的目录。默认值为 java.io.tmpdir 系统属性。

wildfly.sasl.local-user.default-user

Server

用于 silent 身份验证的用户名。

wildfly.sasl.local-user.quiet-auth

客户端

为本地用户启用 silent 身份验证。默认值为 true

请注意,如果未明确定义此属性并且客户端配置中指定了回调处理器或用户名,Jakarta Enterprise Beans 客户端和服务器会禁用静默本地身份验证。

wildfly.sasl.local-user.use-secure-random

Server

指定服务器在创建质询时是否使用安全的随机数字生成器。默认值为 true

wildfly.sasl.mechanism-query-all

client, server

指明应返回所有可能支持的机制名称,无论是否存在其他任何属性。

此属性仅对 SaslServerFactory#getMechanismNames(Map)SaslClientonnectionFactoryy#getMechanismNames(Map) 调用,对于 Elytron-provided SASL 工厂。

wildfly.sasl.otp.alternate-dictionary

客户端

为 OTP SASL 机制提供备用字典。每个字典必须用空格字符(U+0020)分隔。

wildfly.sasl.relax-compliance

Server

SASL 机制的规格要求某些行为,并验证该行为在相反的连接端。当与其它 SASL 机制交互时,其中一些要求将同样解释。如果此属性设为 true,则查询了检查,在规格解释中有所不同。默认值为 false

wildfly.sasl.scram.min-iteration-count

client, server

用于 SCRAM 的最小迭代计数。默认值为 4096

wildfly.sasl.scram.max-iteration-count

client, server

用于 SCRAM 的最大迭代计数。默认值为 32786

wildfly.sasl.secure-rng

client, server

要使用的 SecureRandom 实施的算法名称。使用此属性可以提高性能。

wildfly.security.sasl.digest.ciphers

client, server

直接限制 SASL 机制支持的密码集的逗号分隔列表。

表 A.110. 身份验证后使用 SASL 属性

属性客户端/服务器描述

wildfly.sasl.principal

客户端

包含成功 SASL 客户端验证后的协商客户端主体。

wildfly.sasl.security-identity

Server

包含在成功 SASL 服务器端身份验证后协商的安全身份。