转载

无需修改代码增强Servlet和JSP的安全性

编写Servlet和JSP是容易的,但通常我们会面临很多安全问题。当然,我们会在程序中加入大量的安全代码来解决这个问题,但加入这样的安全硬编码将使程序变得不灵活,而且不易维护。因此,在本文中将给出一种无需修改代码即可达到安全目的方法,并提供了一个实例进行说明。

在本文中的例子将通过一个用户名和密码以及传输层的SSL来保护应用程序的war文件。用户名和密码以明文在网络中传输。这一切并不需要编辑应用程序中的Java代码和JSP页。而为了使Servlet和JSP页变得安全,我们要做的只是配置web.xml文件而已。

一.设置XML文件

配置web.xml文件的第一步是定义一个安全约束,也就是一个<security-constraint>标签。这个标签将保护响应的URL,以使特定的用户才能访问它。注意我们必须要使用<http-method>标签定义一个或多个HTTP方法。如果你想让安全约束应用到所有的HTTP方法,那么只要简单的忽略<http-method>标签即可。

做完上面的设置后,下一步需要设置SSL。我们可以使用<user- data-constraint>标签以及这个标签的一个子标签<transport-guarantee>来设置。却将<transport-guarantee>的值设置成CONFIDENTIAL。

最后一步我们需要设置验证方法。这需要设置<login-config>标签以及子标签<auth-method>。在这里我们将<auth-method>设为BASIC。下面是web.xml文件的部分内容:

  1. <security-constraint> 
  2.       < web-resource-collection> 
  3.          <web-resource-name>Servlet Application  
  4.          </web-resource-name> 
  5.          <url-pattern>/*</url-pattern> 
  6.       </web-resource-collection> 
  7.       <auth-constraint> 
  8.          <role-name>ttrole</role-name> 
  9.       </auth-constraint> 
  10.       <user-data-constraint> 
  11.          <transport-guarantee>CONFIDENTIAL  
  12.          </transport-guarantee> 
  13.       </user-data-constraint> 
  14.    </security-constraint> 
  15.    <login-config> 
  16.       <auth-method>BASIC</auth-method> 
  17.       <realm-name>default</realm-name> 
  18.    </login-config> 
  19.  
  20.    <security-role> 
  21.       <role-name>ttrole</role-name> 
  22.   </security-role> 

在上述的例子中,只有用户"ttrole"才能访问Servlet和JSP页。

在Java EE环境中将使用这些用户验证,但在许多操作系统环境中,用户和组关联。因此,security-role-mapping在用户头组之间提供了一座桥梁。在Java EE 5应用服务器中,我们可以在sun-application.xml文件中按如下的方式字义security-role-mapping标签:

  1. <sun-application> 
  2.      <security-role-mapping> 
  3.        <role-name>myrole</role-name> 
  4.        <principal-name>myuser</principal-name> 
  5.      </security-role-mapping> 
  6.      <security-role-mapping> 
  7.        <role-name>ttrole</role-name> 
  8.        <group-name>ttgroup</group-name> 
  9.      </security-role-mapping> 
  10.      <security-role-mapping> 
  11.        <role-name>arole</role-name> 
  12.        <principal-name>ttuser</principal-name> 
  13.      </security-role-mapping> 
  14.    </sun-application> 

二、运行实例代码

在这一节我们来讲一下如何运行上面的程序。在这里我们使用的集成开发环境是NetBeans IDE 5.5以及NetBeans企业开发包。在安装完NetBeans后,我们需要进行以下几步来运行这个程序。

1. 首先我们需要下载这个程序,下载连接为:例子代码。 然后将其解压。

2. 启动NetBeans。

3. 打开webann工程(刚才zip文件中的NetBeans工程),如果出现一个" Resolve missing server problem"提示信息,说明应用服务器还没有被加到NetBeans的服务器列表中。我们可以选择Tools > Server Manager,然后将相应的服务器加到列表中。

4. 启动Sun内嵌在NetBeans中的Java System Application Server。我们还可以通过在命令中输入如下的命令来启动服务器:
<appserv_install_dir>/bin/asadmin start-domain domain1
上面的<appserv_install_dir>是应用服务器的安装目录。

5. 建立一个用户。我们可以通过管理控制台来完成的(默认是http://localhost:4848),可按以下步骤操作:
(1) 从左侧的管理树中选择Configuration > Security > Realms > file。
(2) 单击"Manage Users",然后单击"New"。
(3) 输入以入信息。
User Id: ttuser
Group List: ttgroup
New Password: ttpassword
Confirm New Password: ttpassword
(4) 单击"OK",保存设置。

在建立第一个用户后,使用同样的方式建立第二个用户ttusers2,输入信息如下:
User Id: ttuser2
Group List: ttgroup
New Password: ttpassword
Confirm New Password: ttpassword

6. 按着以下步骤编译NetBeans工程:
(1) 右击工程窗口的webann节点。
(2) 选择"Clean and Build Project"。
在这个步骤中将建立ear文件,并将它们放到webann/dist目录中。

7. 按着以下步骤发布ear文件:
(1) 右击工程中的webann节点。
(2) 选择"Deploy Project"。

除了上述的发布方法,我们还可以按以下的方式通过管理界面发布:
(1) 在左侧的控制树中选择Applications > Enterprise Applications。
(2) 单击"Deploy"。
(3) 单击"Browser"按钮找到ear文件
(4) 单击"OK"。

我们还可以通过如下的命令行发布ear文件:
asadmin deploy webann.ear

8.下面我们启动浏览器,在地址栏中输入https://<host>:<port/webann,在这里<host>是主机名,如果是本机,就是"localhost",<port>是HTTPS的端口,如8181。

可能由于浏览器的不同,所看到的验证信息不同,但一般会出现一个"unknown authority",这是因为这个例子使用了self-sign验证。然后浏览器将会出现一个选项,提示您是否继续浏览应用程序。

如果我们选择继续浏览应用程序,系统将会提示我们输入用户名和密码。如果我们使用ttuser登录,将会看到类似如下的响应信息:
Hello, ttuser
Ejb Message: Hello, World, Sat Jun 30 12:04:46 PDT 2007
DataSource login timeout: 0

如果我们使用ttuser2登录,将会看到类似如下的响应信息:
Hello, ttuser2
DataSource login timeout: 0

之所以它们的响应信息不同是因为它们所角色不同,用户ttuser拥有"ttrole"和"arole"。而ttuser2只有"ttrole",而没有"arole"。在这个应用程序中,只有拥有角色"arole"的用户可以调用SlessLocal.hello(String message)方法,这个方法返回一个"Hello, World"信息。

当我们运行完这个程序后,可以按着如下的步骤卸载ear文件:
1.通过管理界面面卸载ear文件。
(1) 在左侧的功能树中选择Applications > Enterprise Applications
(2) 选择"webann",然后单击"Undeploy"。

2. 通过管理界面面删除用户。
(1) 选择Configuration > Security > Realmn > file
(2) 单击"Manage Users"。
(3) 选择ttuser和ttuser2。
(4) 单击"Delete"。

正文到此结束
所属分类: Java

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
springboot-demo Java入门教程 bootstrap3 CSS Apache基础教程 php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 MongoDB教程 Struts2教程 Redis教程 Spring教程 Git教程 Jenkins进阶系列 openfire参考指南 Java设计模式 HBase教程 Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 Hive教程 Ant教程 ANTLR教程 SpringCloud java实例教程 springcloud-demo XStream教程 Hazelcast教程 Elastic-Job-Lite 深入浅出MyBatis SVN教程 ibaties教程 rabittmq教程 solr教程 Hadoop教程 WebService CXF学习 JPA教程 ActiveMQ中文指南 java-demo Java内存模型 dubbo教程 python3-demo Linux入门视频教程
近期评论
  1. 1 Spring Cloud Consul实现选举机制
  2. 2 Spring Boot集成ShedLock实现分布式定时任务
  3. 3 利用oss进行数据库和网站图片备份
  4. 4 Spring Cloud Stream实现数据流处理
  5. 5 Python3访问MySQL数据库快速入门Demo
  6. 6 Github开源项目作者可以免费申请 JetBrains 全家桶
  7. 7 Spring Cloud Vault快速入门Demo
  8. 8 Spring Cloud Gateway快速入门Demo
  9. 9 Spring Cloud Contract快速入门Demo
  10. 10 Spring Cloud Consul快速入门Demo
网站信息
  • 文章总数:82,714 篇
  • 文件总数:284,287 个
  • 标签总数:2,393 个
  • 分类总数:85 个
  • 留言数量:2,560 条
  • 在线人数:642 人
  • 运行天数:4,409天
  • 最后更新:2024年11月22日05点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG