Weblogic

weblogic Provider做过OAM，OID我的项目的同学应该都晓得，要集成OAM和OID须要在weblogic的Security Realms中配置Provider，那什么是Provider？在业务零碎中，认证和受权始终是最简单的一块，体现在 认证协定多样性，比方OAuth2，SAML等认证形式多样性，比方二次认证，验证码认证等认证策略多样性，比方有多个认证源，策略能够多样性，能够是一个不通过就不通过，也能够是只有有一个通过就全副通过自定义认证的需要，这个在企业外面还是挺多的，一些零碎上线时还没有相应的规范进去，所以都是自开发明码认证策略多样性，大部分零碎明码存储是不可逆的，如果一开始没有将明码存储在LDAP之类的服务里，后续如果要做降级，就无奈拿到原始明码，那么就须要自定义明码认证策略。总之，认证并不是用户名明码验证这么简略，所以weblogic针对不同的认证场景提供不同的Provider，weblogic作为成熟的商业服务器，天然蕴含大部分认证场景，以weblogic 11g为例，蕴含了以下Provider SAML2IdentityAsserterX3gppAssertedIdentityAsserterX3gppAssertedIdentityStrictAsserterDBMSDigestIdentityAsserterIdentityAssertionAuthenticatorIdentityHeaderAsserterLdapDigestIdentityAsserterPAssertedIdentityAsserterPAssertedIdentityStrictAsserterCrossTenantAuthenticatorTrustServiceIdentityAsserterOSSOIdentityAsserterOAMIdentityAsserterOAMAuthenticatorActiveDirectoryAuthenticatorCustomDBMSAuthenticatorDefaultAuthenticatorDefaultIdentityAsserterIPlanetAuthenticatorLDAPAuthenticatorLDAPX509IdentityAsserterNegotiateIdentityAsserterNovellAuthenticatorOpenLDAPAuthenticatorOracleInternetDirectoryAuthenticatorOracleVirtualDirectoryAuthenticatorReadOnlySQLAuthenticatorSQLAuthenticatorWindowsNTAuthenticatorSAMLAuthenticatorSAMLIdentityAsserterSAMLIdentityAsserterV2通过观察下面的列表，咱们发现有两类Provider xxxAsserterxxxAuthenticator那么这两个有什么区别，搞清楚这两个的区别十分重要，你进小区，如果你有带房卡就能够间接进，如果没有，你就得证实你是小区的户主，可能就须要你提供身份证，电话之类的信息，同理，如果带着token或者cookie拜访零碎那么就须要Asserter进行认证受权，如果带着用户名明码登录零碎就须要Authenticator进行认证，总之，Asserter看token，Authenticator看明码，那配过OAM单点登录的同学应该晓得，要实现OAM单点登录须要配置两个货色 配置OAMIdentityAsserter配置OracleInternetDirectoryAuthenticator那问题来了，为什么有了OAMIdentityAsserter还须要OracleInternetDirectoryAuthenticator？用户在登录页登录后，后续所有的申请都是通过OAMIdentityAsserter解析OAM信息进行认证受权，那么还须要Authenticator干嘛？Asserter获取的用户信息无限，只能从token外面解析出无限的用户信息，个别就是用户ID，那么须要判断用户存不存在或者须要更多的用户信息就须要借助Authenticator JAASJAAS(Java Authentication and Authorization Service)是Java提供集成在JDK中（在javax.security.auth门路下）规范用户认证与受权模型，简略来说，JAAS提供了一系列的接口，不同认证形式通过实现接口从而能够以插件的模式集成到java应用程序中，JAAS架构图下 在JAAS中有几个重要的概念须要理解 SubjectSubject示意请求者，可能是一个人也可能是一个设施 PrincipalPrincipal是关联在Subject下，后面提到Subject示意的是请求者，咱们用登录用户会更好了解点，那么Principal就是用户的账号，可能是用手机号登录的，也可能是用邮箱登录的，Subject能够有多个Principal LoginContextLoginContext认证上下文，提供一系列认证办法，负责调用具体的认证实现（LoginModule），并且认证胜利后返回Subject LoginModule认证的具体实现，其中login办法实现登录逻辑，存储后果，commit办法最终将Subject提交到上下文 CallbackHandler当LoginModule须要拿到用户名和明码等认证信息时，就须要调用CallbackHandler返回这些信息，在gui利用中，CallbackHandler可能会弹出一个窗口让用户输出用户名和明码 CallbackLoginModule须要获取的用户信息成为Callback，比方须要向CallbackHandler获取用户名，那么就会创立一个NameCallback，须要获取明码就会创立一个PasswordCallback，CallbackHandler依据Callback的类型返回用户信息 我的项目背景某我的项目须要将OAM替换成其余产品，要求不能批改利用，做到无缝切换，利用部署在webogic上，通过OAMIdentityAsserter和OracleInternetDirectoryAuthenticator集成OAM和OID实现单点登录，利用局部配置如下 web.xml <security-constraint> <web-resource-collection> <web-resource-name>SecurePages</web-resource-name> <description>These pages are only accessible by authorized users.</description> <url-pattern>/*</url-pattern> <http-method>GET</http-method> </web-resource-collection> <auth-constraint> <description>These are the roles who have access.</description> <role-name>ValidUser</role-name> </auth-constraint> <user-data-constraint> <description>This is how the user data must be transmitted.</description> <transport-guarantee>NONE</transport-guarantee> </user-data-constraint></security-constraint><login-config> <auth-method>CLIENT-CERT</auth-method> <realm-name>myrealm</realm-name></login-config><security-role> <description>These are the roles who have access.</description> <role-name>ValidUser</role-name></security-role>weblogic.xml <wls:security-role-assignment> <wls:role-name>ValidUser</wls:role-name> <wls:principal-name>users</wls:principal-name> </wls:security-role-assignment>留神到web.xml中login-config的配置<auth-method>CLIENT-CERT</auth-method>，这个配置示意利用从上下文获取用户信息，也就是从HttpServletRequest的getUserPrincipal办法获取用户信息 ...

背景某我的项目在weblogic降级失败后进行回滚，回滚后环境接口无法访问，报500异样，接口为BPM Service客户端程序，谬误如下： SEVERE: <.> getTokenType: invalid token: e0FFU31EbGdrK0IxSlV1WkFMM0doc2dlMUJxdWpjQmEza0tzZGNncnlOSUlLdnFaT0QrY1pyanBBa0d0MTdURHhqbmx4SWJ1d3hvMGsxNmZyaUJFcDIvbGd3MkFWUjRCUXVZdFhvemcxZmprQm83akFoS3pMSWVxeG1DT213VkJpUW5rUWhzQ3lVSmRUT204dXdUUmI2bnlsdEg4bTducTFBWVd0eDVKWjdVSHRiRndsRkRxcjQrZnBVKzBoV0lkc1lRZXQ2VlZkSDRtNUp0V05LYW1SdGNMNWZOUE0rVTVtaEhYYWU5czg4c1VLNHIvenFDN05GTXFieGl6YXJubkd6ZHhTSEZRcUxiRTlmK3ZaNzlLMVlCNExmbkJhL0pSY2hvanlHZ0ZyQWJLdVhJbz0=SEVERE: <.> Invalid Token Error in Verification Service.Invalid Token Error in Verification Service. Received invalid token in getTokenType.Verify that correct token is passed.ORABPEL-30503Invalid Token Error in Verification Service.Invalid Token Error in Verification Service. Received invalid token in getTokenType.Verify that correct token is passed. at oracle.bpel.services.workflow.verification.impl.Token.getTokenType(Token.java:545) at oracle.bpel.services.workflow.verification.impl.Token.isSameValue(Token.java:314) at oracle.bpel.services.workflow.verification.impl.VerificationService.isInternalWorkflowContext(VerificationService.java:689)排查从谬误日志上看是token问题，首先就要搞清楚token是怎么来的，通过排查，整顿出token的逻辑如下 1.用户在登录页输出用户名明码登录2.后盾登录bpm获取token3.bpm token通过加密后作为jwt的claim放入jwt token中4.用户带上jwt token获取代办5.后盾解码jwt token，从jwt中获取bpm token的claim6.解密bpm token7.带上bpm token调用bpm api还有一个比拟重要的信息是，登录获取token的接口和调用bpm api的接口不在同一个war包里，所以一开始狐疑是两边bpm相干jar包版本不一样，比方登录生成token用的jar包和调用bpm api用的jar包如果版本不一样，那么token就可能无奈被辨认，而后都是朝着这个方向去排查，试了很多计划 ...

背景置信做过oracle中间件的同学必定都会遇到这样的状况 遗记weblogic管理员明码遗记数据库schema明码我的项目就像流水一样永不平息，每个我的项目又有多套环境，每个环境又有超级多的服务器，就产生了超级多的明码，程序员又懒又自负，自认为能记住所有明码，后果往往是喜剧的，侥幸的是weblogic帮咱们记住了所有的明码，尽管是加密的，但因为weblogic自身也要应用明码进行验证，因而加密必然是可逆的，这篇文档介绍如何进行解密。 在weblogic后盾配置文件中，有很多是蕴含明码的，比方boot.properties，config.xml等，这些明码都被加密过，你看到的模式为{AES}xxxxxx都是明码。 过程解密关键步骤是拿到密钥，weblogic密钥位于${DOMAIN_HOME}/security/SerializedSystemIni.dat中，比方/u01/Middleware/user_projects/domains/portal_domain/security/SerializedSystemIni.dat，该文件是一个64字节的二进制文件，每个domain都有一个这个文件。 本地创立一个新的目录（如/workspace/secret/，把密钥文件SerializedSystemIni.dat下载到该目录下执行以下代码，获取明码明文package com.definesys.weblogic;import java.io.*;import weblogic.security.internal.*;import weblogic.security.internal.encryption.*;/** * @Description: * @author: jianfeng.zheng * @since: 2020/9/4 1:43 下午 * @history: 1.2020/9/4 created by jianfeng.zheng */public class Cracker { public static void main(String[] args) { String secretDirectory = "/workspace/secret/"; String password = "{AES}3lQ83x6dp5ZdmtCbLOs+5E8o48nfOK2na5TZD6oMrvi9L5fTbHk+VE6A9bn4xIXl"; ClearOrEncryptedService ces = new ClearOrEncryptedService(SerializedSystemIni.getEncryptionService(new File(secretDirectory).getAbsolutePath())); String pwd = ces.decrypt(password); System.out.println(pwd); }}secretDirectory：密钥所在目录password：加密后的明码依赖包程序须要两个依赖包 wlfullclient.jarcryptoj.jar这两个依赖包能够从weblogic后盾下载，门路如下 $WL_HOME/server/lib/wlfullclient.jar 如：/u01/Middleware/wlserver_10.3/server/lib/wlfullclient.jar$WL_HOME/server/lib/cryptoj.jar 如：/u01/Middleware/wlserver_10.3/server/lib/cryptoj.jar如果没有wlfullclient.jar须要自行构建，构建办法如下 [oracle]$ cd /u01/Middleware/wlserver_10.3/server/lib[oracle]$ java -jar /u01/Middleware/modules/com.bea.core.jarbuilder_1.7.0.0.jar肯定要在server/lib目录下构建更不便的办法如果有服务器后盾权限，借助wlst工具，有更简略的办法，如下 [oracle]$ cd /data/Middleware/wlserver_10.3/common/bin[oracle]$ ./wlst.sh ...Type help() for help on available commandswls:/offline> domain = "/data/Middleware/user_projects/domains/portal_domain"wls:/offline> service = weblogic.security.internal.SerializedSystemIni.getEncryptionService(domain)wls:/offline> encryption = weblogic.security.internal.encryption.ClearOrEncryptedService(service)wls:/offline> print encryption.decrypt("{AES}1nZiIY0Fb1BckEaX7F/3V3MR+io2/dxJUfoUm3iH13S=")这里输入明码总结就是登录wlst后，执行以下语句，批改为特定环境的domain门路和须要解密的明码即可 ...

补丁下载oracle每个季度都会更新一次补丁，能够从这里下载oracle产品每个季度的补丁，点击去后，在右边找到你的产品，点击左边进入补丁下载 补丁下载须要登录oracle support，你必须先注册一个support账号，进入后在产品列表找到产品 点击补丁编号就能够下载补丁 补丁装置备份须要备份整个中间件目录，即备份Middleware目录，备份没有实现之前肯定不要装置补丁，特地是生产环境，备份命令参考如下 cp -ar Middleware Middleware_bak20201024补丁上传把补丁文件上传到服务器并且解压，个别上传到${MW_HOME}/utils/bsu/cache_dir目录下，当然也能够其余目录。 MW_HOME示意中间件目录，比方/u01/Middleware批改bsu文件批改${MW_HOME}/utils/bsu/bsu.sh脚本jvm内存参数 MEM_ARGS="-Xms1024m -Xmx4096m"敞开服务器确认进行所有weblogic服务器，包含admin服务器，能够用jps -v命令确认，命令没有显示正在运行的服务器即可 执行补丁脚本须要用oracle用户装置$ cd {MW_HOME}/utils/bsu$ ./bsu.sh -install -patch_download_dir=/data/Middleware/utils/bsu/cache_dir -patchlist=I37G -prod_dir={WL_HOME}Checking for conflicts.......................No conflict(s) detectedInstalling Patch ID: I37G..Result: Success比方 $ cd /data/Middleware/utils/bsu$ ./bsu.sh -install -patch_download_dir=/data/Middleware/utils/bsu/cache_dir -patchlist=I37G -prod_dir=/data/Middleware/wlserver_10.3Checking for conflicts.......................No conflict(s) detectedInstalling Patch ID: I37G..Result: Success脚本会在Checking for conflicts执行较长时间，这个是失常的，不要强行中断，如果没有抵触脚本就开始失常装置补丁，如果有抵触，依据提醒解决抵触，具体问题具体解决 验证补丁执行以下命令验证补丁是否装置胜利 $ . $WL_HOME/server/bin/setWLSEnv.sh$ java weblogic.versionWebLogic Server 10.3.6.0.200714 PSU Patch for BUG31178492 Fri Jun 5 20:42:30 PDT 2020WebLogic Server 10.3.6.0 Tue Nov 15 08:52:36 PST 2011 1441050 Use 'weblogic.version -verbose' to get subsystem informationUse 'weblogic.utils.Versions' to get version information for all modules验证装置胜利后即可重启所有服务器 ...