FkmxudJ2EE的安全認證機制(不要錢)

1、生命是永恒不斷的創(chuàng)造，因為在它內(nèi)部蘊含著過剩的精力，它不斷流溢，越出時間和空間的界限，它不停地追求，以形形色色的自我表現(xiàn)的形式表現(xiàn)出來。泰戈爾 實現(xiàn)Web應(yīng)用程序的安全機制是Web應(yīng)用程序的設(shè)計人員和編程人員必須面對的任務(wù)。在J2EE中，Web容器支持應(yīng)用程序內(nèi)置的安全機制。Web應(yīng)用程序的安全機制有二種組件：認證和授權(quán)?；贘2EE的Web容器提供三種類型的認證機制：基本認證、基于表單的認證、相互認證。由于能夠?qū)φJ證用戶界面進行定制，大多數(shù)的Web應(yīng)用程序都使用基于表單的認證。Web容器使用在Web應(yīng)用程序的部署描述符中定義的安全角色對應(yīng)用程序的Web資源的訪問進行授權(quán)。在使用基于表單的認證

2、機制中，應(yīng)用程序的設(shè)計人員和開發(fā)人員會遇到3類問題：基于表單的認證如何與數(shù)據(jù)庫和LDAP等其他領(lǐng)域的安全機制協(xié)同工作。（這是非常必要的，因為許多組織已經(jīng)在數(shù)據(jù)庫和LDAP表單中實現(xiàn)了認證機制。）如何在Web應(yīng)用程序的部署描述符（web.xml）中增加或刪除軍政府的授權(quán)角色。Web容器在Web資源層次上進行授權(quán)；應(yīng)用程序則需要在單一的Web資源中執(zhí)行功能層次上的授權(quán)。盡管有許多與基于表單的認證有關(guān)的文檔和例子，但都沒有能夠闡明這一問題。因此，大多數(shù)的應(yīng)用程序都以自己的方式襀安全機制。本篇文章說明了基于表單的認證如何與其他方面的安全機制，尤其是數(shù)據(jù)庫中的安全機制協(xié)作的問題。它還解釋了Web窗口如何

3、使用安全角色執(zhí)行授權(quán)以及應(yīng)用程序如何擴展這些安全角色，保護Web資源中的功能。基于表單的認證基于表單的認證能夠使開發(fā)人員定制認證的用戶界面。web.xml的login-config小節(jié)定義了認證機制的類型、登錄的URI和錯誤頁面。login-configauth-methodFORM/auth-methodform-login-configform-login-page/login.jsp/form-login-pageform-error-page/fail_login.html/form-error-page/form-login-config/login-config登錄表單必須包含輸入

4、用戶姓名和口令的字段，它們必須被分別命名為j_username和j_password，表單將這二個值發(fā)送給j_security_check邏輯名字。下面是一個該表單如何在HTML網(wǎng)頁中實現(xiàn)的例子：form method=POST action=j_security_checkinput type=text name=j_usernameinput type=password name=j_password/form 除非所有的連接都是在SSL上實現(xiàn)的，該表單能夠透露用戶名和口令。當受保護的Web資源被訪問時，Web容器就會激活為該資源配置的認證機制。為了實現(xiàn)Web應(yīng)用程序的安全，Web容器執(zhí)行

5、下面的步驟：1、在受保護的Web資源被訪問時，判斷用戶是否被認證。2、如果用戶沒有得到認證，則通過重定向到部署描述符中定義的注冊頁面，要求用戶提供安全信任狀。3、根據(jù)為該容器配置的安全領(lǐng)域，確認用戶的信任狀有效。4、判斷得到認證的用戶是否被授權(quán)訪問部署描述符（web.xml）中定義的Web資源。象基本的安全認證機制那樣，在Web應(yīng)用程序的部署描述符中，基于表單的認證不指定安全區(qū)域。也就是說，它不明確地定義用來認證用戶的安全區(qū)域類型，這就會在它使用什么樣的安全區(qū)域認證用戶方面引起混淆。要對用戶進行驗證，Web窗口需要完成下面的步驟：1、判斷該容器配置的安全區(qū)域。2、使用該安全區(qū)域進行認證。由于數(shù)

6、據(jù)庫和LDAP在維護信息方面提供了更大的靈活性，因此大多數(shù)組織都會希望繼續(xù)使用它們維護安全認證和授權(quán)信息。許多Web窗口都支持不同類型的安全區(qū)域：數(shù)據(jù)庫、LDAP和定制區(qū)域。例如，在Tomcat Web容器中，server.xml將數(shù)據(jù)庫配置為其安全區(qū)域。Realm className=org.apache.catalina.realm.JDBCRealm debug=99driverName=oracle.jdbc.driver.OracleDriverconnectionURL=jdbc:oracle:thin:IPAddress:Port:ServicenameconnectionNam

7、e=DB UsernameconnectionPassword=PassworduserTable=users userNameCol=username userCredCol=passworduserRoleTable=user_roles roleNameCol=rolename / Tomcat的server.xml的Realm標志定義了窗口用來識別一個用戶的安全區(qū)域的類型。注意，容器對Web應(yīng)用程序使用該區(qū)域，應(yīng)用程序的認證機制是基于表單的。授權(quán)一旦用戶被識別后，容器就會得到認證用戶的安全角色，看用戶是否屬于在部署描述符中的auth-constraint標志中定義的安全角色之一。如果用

8、戶不屬于任何一個安全角色，則容器會返回一個錯誤。部署描述符（web.xml）的security-constraint標志定義了被保護的Web資源和能夠訪問這些資源的安全角色清單。security-constraintweb-resource-collectionweb-resource-nameAdminPages/web-resource-namedescription accessible by authorised users /descriptionurl-pattern/admin/*/url-patternhttp-methodGET/http-method/web-resourc

9、e-collectionauth-constraintdescriptionThese are the roles who have access/descriptionrole-namemanager/role-name/auth-constraint/security-constraint Web窗口在網(wǎng)頁層次上執(zhí)行認證。然而，商業(yè)性應(yīng)用程序可能還希望對一個網(wǎng)頁內(nèi)的功能進行認證，這會要求在應(yīng)用程序中定義一些新的附加的與應(yīng)用程序有關(guān)的安全角色。為了控制對功能的訪問，應(yīng)用程序需要理解角色的權(quán)限概念。Web容器標準沒有解決權(quán)限的問題。由于授權(quán)角色是動態(tài)的，開發(fā)人員常常會感到迷惑，即這些安全角色是

10、否需要添加到部署描述符中。為了使應(yīng)用程序充分利用安全支持，Web容器只需要在部署描述符中定義的一個角色。因此，應(yīng)用程序可以定義一個高層次的角色，然后將所有的用戶都指派給該角色。這將使該角色中的所有用戶都擁有能夠訪問Web資源的權(quán)限。另外，應(yīng)用程序還可以定義額外的角色，執(zhí)行對一種Web資源中較低層次的功能的授權(quán)。由于應(yīng)用程序已經(jīng)配置有一個包含應(yīng)用程序中所有用戶的高層次安全角色，這些低層次的安全角色也就不需要在部署描述符中進行定義。這使得Web應(yīng)用程序能夠利用容器的授權(quán)支持，實現(xiàn)與指定應(yīng)用程序有關(guān)的授權(quán)。我們可以在部署描述符中為所有用戶定義一個高層次的管理員角色，保護管理類Web資源，這使得管理員

11、角色中的所有用戶都能夠訪問管理網(wǎng)頁。為了控制管理網(wǎng)頁中的其他功能，我們可以在應(yīng)用程序中創(chuàng)建 sysadmin或appadmin等新的角色。應(yīng)用程序可以對這些安全角色進行擴展，使它們擁有一定的權(quán)限。然后，應(yīng)用程序可以使用這些權(quán)限來控制對其功能的訪問。盡管與特定應(yīng)用程序相關(guān)的安全角色不是定義在部署描述符中的，這些角色仍然可以在isUserInRole方法中使用，判斷用戶是否在這些安全角色中。優(yōu)點Web應(yīng)用程序無需實現(xiàn)認證機制，簡化Web應(yīng)用程序的配置。Web應(yīng)用程序能夠使用getRemoteUser、IsUserInRole和getUserPrincipal方法實現(xiàn)有規(guī)劃的安全。Web應(yīng)用程序能夠

12、將認證信息傳播給EJB容器。在Tomcat中配置數(shù)據(jù)庫安全區(qū)域1、創(chuàng)建用戶表。該數(shù)據(jù)庫表需要有username和password二個字段。create table users (username varchar(20) not null, password(20) not null) 2、創(chuàng)建角色表該表維護著應(yīng)用程序中角色的清單，它僅僅有rolename一個字段。create table roles (rolename varchar(20) not null) 3、創(chuàng)建用戶-角色關(guān)聯(lián)表該表維護著一個用戶和各個角色之間的關(guān)聯(lián)，一個用戶可以屬于一個或多個角色。create table user_

13、roles (username varchar(20) not null, rolename varchar(20) not null) 4、在表中插入數(shù)據(jù)insert into users values(user1, password)insert into role values(manager)insert into user_roles values(user1, manager) 5、創(chuàng)建用戶表。該數(shù)據(jù)庫表需要有username和password二個字段。create table users (username varchar(20) not null, password(20) n

14、ot null) 6、創(chuàng)建角色表該表維護著應(yīng)用程序中角色的清單，它僅僅有rolename一個字段。create table roles (rolename varchar(20) not null) 7、創(chuàng)建用戶-角色關(guān)聯(lián)表該表維護著一個用戶和各個角色之間的關(guān)聯(lián)，一個用戶可以屬于一個或多個角色。create table user_roles (username varchar(20) not null, rolename varchar(20) not null) 8、在表中插入數(shù)據(jù)insert into users values(user1, password)insert into rol

15、e values(manager)insert into user_roles values(user1, manager) 9、通過將下面的信息拷貝到tomcatconf文件夾的server.xml文件中，配置Tomcat。（本例使用了薄客戶端驅(qū)動程序，Tomcat使用內(nèi)存區(qū)域作為缺省的安全區(qū)域。）Realm className=org.apache.catalina.realm.JDBCRealm debug=99driverName=oracle.jdbc.driver.OracleDriver connectionURL=jdbc:oracle:thin:IP address:Port

16、:ServicenameconnectionName=DB UsernameconnectionPassword=PassworduserTable=users userNameCol=username userCredCol=passworduserRoleTable=user_roles roleNameCol=rolename / 用環(huán)境變量替換下面的值：IP Address 數(shù)據(jù)庫服務(wù)器的IP地址Port 端口號Servicename 服務(wù)名字DB Username 數(shù)據(jù)庫登錄Password 數(shù)據(jù)庫登錄的口令10、將Oracle的薄客戶機驅(qū)動程序JAR文件或數(shù)據(jù)庫的JDBC驅(qū)動程序拷

17、貝到tomcat_home/server/lib目錄中。11、用下面的安全約束配置Web應(yīng)用程序的部署描述符security-constraintweb-resource-collectionweb-resource-nameProtected Area/web-resource-name!- 定義需要被保護的URL -url-pattern/*/url-patternhttp-methodDELETE/http-methodhttp-methodGET/http-methodhttp-methodPOST/http-methodhttp-methodPUT/http-method/web-r

18、esource-collectionauth-constraintrole-namemanager/role-name/auth-constraintuser-data-constrainttransport-guaranteeNONE/transport-guarantee/user-data-constraint/security-constraint!- 缺省的登錄配置使用基于表單的認證 -login-configauth-methodFORM/auth-methodrealm-nameExample Form-Based Authentication Area/realm-nameform-login-configform-login-page/jsp/login.jsp/form-login-pageform-error-page/jsp/error.jsp/form-error-page/form-login-config/login-config 需要注意的是，a