【Java安全技术探索之路系列：Java可扩展安全架构】之二十：SASL（一）：SASL架构介绍.md

作者：郭嘉
邮箱：allenwells@163.com
博客：http://blog.csdn.net/allenwells
github：https://github.com/AllenWell

简单认证和安全层(SASL)定义了一种用于认证以及在客户端和服务器应用之间建立安全层的协议，其中安全层的建立是可选的。SASL定义了如何交换认证数据，但没有指定这些认证数据的内容。它只是一个框架，认证数据的内容和语义由认证机制指定。

SASL是RFC2222定义的一项标准，被诸如轻量级目录访问协议第3版(Lightweight Directory Access Protocol, version 3, LDAP v3)和Internet消息访问协议第4版(Internet Message Access Protocol, version 4, IMAP v4)等协议用于支持可插入认证。LDAP v3和IMAPv4使用SASL通过各种SASL机制来执行认证，而不是没有指定具体的认证方法。

Java SASL是J2SE 5.0的新增内容，它以独立于认证机制的方式定义Java API机制，让使用该API的应
用无需指定特定的SASL机制。该API为客户端和服务器应用带来了便利，使应用可以根据所需的安全功能
选择需要使用的机制，如是否易受被动字典攻击和是否接受匿名认证。Java SASL API还允许开发人员创建自定义的SASL机制。SASL机制可以使用JCA安装。

SASL为网络应用提供了可插人的认证解决方案和安全层，因此能与其他API解决方案协同工作，如
JSSE和Java GSS。例如，应用可以用JSSE建立安全信道，然后用SASE执行基于用户名/密码的客户端认
证。同样，还可以将SASL机制置于GSS-API机制之上，以支持LDAP使用的SASL GSS-API/Kerberos V5
机制。