- 相關(guān)推薦
J2EE的安全認(rèn)證機(jī)制
Web應(yīng)用程序的安全機(jī)制有二種組件:認(rèn)證和授權(quán)。基于J2EE的Web容器提供三種類型的認(rèn)證機(jī)制:基本認(rèn)證、基于表單的認(rèn)證、相互認(rèn)證。由于能夠?qū)φJ(rèn)證用戶界面進(jìn)行定制,大多數(shù)的Web應(yīng)用程序都使用基于表單的認(rèn)證。Web容器使用在Web應(yīng)用程序的部署描述符中定義的安全角色對應(yīng)用程序的Web資源的訪問進(jìn)行授權(quán)。
在使用基于表單的認(rèn)證機(jī)制中,應(yīng)用程序的設(shè)計人員和開發(fā)人員會遇到3類問題:
基于表單的認(rèn)證如何與數(shù)據(jù)庫和LDAP等其他領(lǐng)域的安全機(jī)制協(xié)同工作。(這是非常必要的,因為許多組織已經(jīng)在數(shù)據(jù)庫和LDAP表單中實現(xiàn)了認(rèn)證機(jī)制。)
如何在Web應(yīng)用程序的部署描述符(web.xml)中增加或刪除授權(quán)角色。
Web容器在Web資源層次上進(jìn)行授權(quán);應(yīng)用程序則需要在單一的Web資源中執(zhí)行功能層次上的授權(quán)。
盡管有許多與基于表單的認(rèn)證有關(guān)的文檔和例子,但都沒有能夠闡明這一問題。因此,大多數(shù)的應(yīng)用程序都以自己的方式襀安全機(jī)制。
本篇文章說明了基于表單的認(rèn)證如何與其他方面的安全機(jī)制,尤其是數(shù)據(jù)庫中的安全機(jī)制協(xié)作的問題。它還解釋了Web窗口如何使用安全角色執(zhí)行授權(quán)以及應(yīng)用程序如何擴(kuò)展這些安全角色,保護(hù)Web資源中的功能。
基于表單的認(rèn)證
基于表單的認(rèn)證能夠使開發(fā)人員定制認(rèn)證的用戶界面。web.xml的login-config小節(jié)定義了認(rèn)證機(jī)制的類型、登錄的URI和錯誤頁面。
FORM
/login.jsp
/fail_login.html
登錄表單必須包含輸入用戶姓名和口令的字段,它們必須被分別命名為j_username和j_password,表單將這二個值發(fā)送給j_security_check邏輯名字。
下面是一個該表單如何在HTML網(wǎng)頁中實現(xiàn)的例子:
除非所有的連接都是在SSL上實現(xiàn)的,該表單能夠透露用戶名和口令。當(dāng)受保護(hù)的Web資源被訪問時,Web容器就會激活為該資源配置的認(rèn)證機(jī)制。
為了實現(xiàn)Web應(yīng)用程序的安全,Web容器執(zhí)行下面的步驟:
在受保護(hù)的Web資源被訪問時,判斷用戶是否被認(rèn)證。
如果用戶沒有得到認(rèn)證,則通過重定向到部署描述符中定義的注冊頁面,要求用戶提供安全信任狀。
根據(jù)為該容器配置的安全領(lǐng)域,確認(rèn)用戶的信任狀有效。
判斷得到認(rèn)證的用戶是否被授權(quán)訪問部署描述符(web.xml)中定義的Web資源。
象基本的安全認(rèn)證機(jī)制那樣,在Web應(yīng)用程序的部署描述符中,基于表單的認(rèn)證不指定安全區(qū)域。也就是說,它不明確地定義用來認(rèn)證用戶的安全區(qū)域類型,這就會在它使用什么樣的安全區(qū)域認(rèn)證用戶方面引起混淆。
要對用戶進(jìn)行驗證,Web窗口需要完成下面的步驟:
判斷該容器配置的安全區(qū)域。
使用該安全區(qū)域進(jìn)行認(rèn)證。
由于數(shù)據(jù)庫和LDAP在維護(hù)信息方面提供了更大的靈活性,因此大多數(shù)組織都會希望繼續(xù)使用它們維護(hù)安全認(rèn)證和授權(quán)信息。
許多Web窗口都支持不同類型的安全區(qū)域:數(shù)據(jù)庫、LDAP和定制區(qū)域。例如,在Tomcat Web容器中,server.xml將數(shù)據(jù)庫配置為其安全區(qū)域。
debug="99"
driverName="oracle.jdbc.driver.OracleDriver"
connectionURL="jdbc:oracle:thin:@{IPAddress}:{Port}:{Servicename}"
connectionName="{DB Username}"
connectionPassword="{Password}"
userTable="users"
userNameCol="username"
userCredCol="password"
userRoleTable="user_roles"
roleNameCol="rolename" />
Tomcat的server.xml的標(biāo)志定義了窗口用來識別一個用戶的安全區(qū)域的類型。注意,容器對Web應(yīng)用程序使用該區(qū)域,應(yīng)用程序的認(rèn)證機(jī)制是基于表單的。
授權(quán)
一旦用戶被識別后,容器就會得到認(rèn)證用戶的安全角色,看用戶是否屬于在部署描述符中的標(biāo)志中定義的安全角色之一。如果用戶不屬于任何一個安全角色,則容器會返回一個錯誤。
部署描述符(web.xml)的標(biāo)志定義了被保護(hù)的Web資源和能夠訪問這些資源的安全角色清單。
AdminPages
accessible by authorised users
/admin/*
GET
These are the roles who have access
manager
Web窗口在網(wǎng)頁層次上執(zhí)行認(rèn)證。然而,商業(yè)性應(yīng)用程序可能還希望對一個網(wǎng)頁內(nèi)的功能進(jìn)行認(rèn)證,這會要求在應(yīng)用程序中定義一些新的附加的與應(yīng)用程序有關(guān)的安全角色。為了控制對功能的訪問,應(yīng)用程序需要理解角色的權(quán)限概念。Web容器標(biāo)準(zhǔn)沒有解決權(quán)限的問題。
由于授權(quán)角色是動態(tài)的,開發(fā)人員常常會感到迷惑,即這些安全角色是否需要添加到部署描述符中。為了使應(yīng)用程序充分利用安全支持,Web容器只需要在部署描述符中定義的一個角色。因此,應(yīng)用程序可以定義一個高層次的角色,然后將所有的用戶都指派給該角色。這將使該角色中的所有用戶都擁有能夠訪問Web資源的權(quán)限。
另外,應(yīng)用程序還可以定義額外的角色,執(zhí)行對一種Web資源中較低層次的功能的授權(quán)。由于應(yīng)用程序已經(jīng)配置有一個包含應(yīng)用程序中所有用戶的高層次安全角色,這些低層次的安全角色也就不需要在部署描述符中進(jìn)行定義。這使得Web應(yīng)用程序能夠利用容器的授權(quán)支持,實現(xiàn)與指定應(yīng)用程序有關(guān)的授權(quán)。
我們可以在部署描述符中為所有用戶定義一個高層次的管理員角色,保護(hù)管理類Web資源,這使得管理員角色中的所有用戶都能夠訪問管理網(wǎng)頁。為了控制管理網(wǎng)頁中的其他功能,我們可以在應(yīng)用程序中創(chuàng)建 sysadmin或appadmin等新的角色。
應(yīng)用程序可以對這些安全角色進(jìn)行擴(kuò)展,使它們擁有一定的權(quán)限。然后,應(yīng)用程序可以使用這些權(quán)限來控制對其功能的訪問。
盡管與特定應(yīng)用程序相關(guān)的安全角色不是定義在部署描述符中的,這些角色仍然可以在isUserInRole方法中使用,判斷用戶是否在這些安全角色中。
優(yōu)點
Web應(yīng)用程序無需實現(xiàn)認(rèn)證機(jī)制,簡化Web應(yīng)用程序的配置。
Web應(yīng)用程序能夠使用getRemoteUser、IsUserInRole和getUserPrincipal方法實現(xiàn)有規(guī)劃的安全。
Web應(yīng)用程序能夠?qū)⒄J(rèn)證信息傳播給EJB容器。
在Tomcat中配置數(shù)據(jù)庫安全區(qū)域
1. 創(chuàng)建用戶表。
該數(shù)據(jù)庫表需要有username和password二個字段。
create table users (username varchar(20) not null, password(20) not null)
2. 創(chuàng)建角色表
該表維護(hù)著應(yīng)用程序中角色的清單,它僅僅有rolename一個字段。
create table roles (rolename varchar(20) not null)
3. 創(chuàng)建用戶-角色關(guān)聯(lián)表
該表維護(hù)著一個用戶和各個角色之間的關(guān)聯(lián),一個用戶可以屬于一個或多個角色。
create table user_roles (username varchar(20) not null, rolename varchar(20) not null)
4. 在表中插入數(shù)據(jù)
insert into users values('user1', 'password')
insert into role values('manager')
insert into user_roles values('user1', 'manager')
5. 通過將下面的信息拷貝到{tomcat}\conf\文件夾的server.xml文件中,配置Tomcat。(本例使用了薄客戶端驅(qū)動程序,Tomcat使用內(nèi)存區(qū)域作為缺省的安全區(qū)域,我們使用基于數(shù)據(jù)庫的安全區(qū)域)
debug="99"
driverName="oracle.jdbc.driver.OracleDriver"
connectionURL="jdbc:oracle:thin:@{IP address}:{Port}:{Servicename}"
connectionName="{DB Username}"
connectionPassword="{Password}"
userTable="users"
userNameCol="username"
userCredCol="password"
userRoleTable="user_roles"
roleNameCol="rolename"
/>
用環(huán)境變量替換下面的值:
{IP Address} ━━數(shù)據(jù)庫服務(wù)器的IP地址
{Port} ━━端口號
{Servicename} ━━服務(wù)名字
{DB Username} ━━數(shù)據(jù)庫登錄
{Password} ━━數(shù)據(jù)庫登錄的口令
6. 將Oracle的薄客戶機(jī)驅(qū)動程序JAR文件或數(shù)據(jù)庫的JDBC驅(qū)動程序拷貝到{tomcat_home}/server/lib目錄中。
7. 用下面的安全約束配置Web應(yīng)用程序的部署描述符
Protected Area
/*
DELETE
GET
POST
PUT
manager
NONE
FORM
Example Form-Based Authentication Area
/jsp/login.jsp
/jsp/error.jsp
需要注意的是,中的值應(yīng)當(dāng)是用戶-角色關(guān)聯(lián)表中中角色之一。
在Tomcat中配置例子文件
使用上面介紹的命令配置Tomcat。
打包你的工程,并將它拷貝到Tomcat的webapps目錄。
啟動Tomcat服務(wù)器
打開一個瀏覽器,輸入下面的地址:http://localhost:8080/useProjectName/index.jsp
輸入用戶名和口令。
在WebLogic中配置數(shù)據(jù)庫安全區(qū)域
配置Web應(yīng)用程序的部署描述符,這一過程與在Tomcat中配置非常相似。Tomcat和WebLogic的配置描述符之間的一個差別是,WebLogic配置描述符要求下面的小節(jié),而Tomcat不需要下面的小節(jié):
Manager security role
manager
結(jié)論
通過本篇文章,讀者應(yīng)該會對基于表單的認(rèn)證、以及它如何與數(shù)據(jù)庫安全區(qū)域配合進(jìn)行認(rèn)證有個比較深刻的認(rèn)識。Web應(yīng)用程序能夠利用基于表單的認(rèn)證機(jī)制,保護(hù)它的資源,同時允許使用以前的安全認(rèn)證機(jī)制。
【J2EE的安全認(rèn)證機(jī)制】相關(guān)文章:
JAVA認(rèn)證基礎(chǔ)知識:基于反射機(jī)制的服務(wù)代理調(diào)用09-20
2016年JAVA認(rèn)證基礎(chǔ)知識:基于反射機(jī)制的服務(wù)代理調(diào)用08-21
什么是J2EE07-05
j2ee介紹07-22
J2EE的概念08-23
ccna安全認(rèn)證考試指南07-12