J2EE的安全认证机制.docVIP

J2EE的安全认证机制 　 　　实现Web应用程序的安 J2EE中，Web容器支持应用 全机制是Web应用程序的设计人 程序内置的安全机制。 员和编程人员必须面对的任务。在 　　Web应用程序的安全机 认证机制：基本认证、基于 数的Web应用程序都使用基 安全角色对应用程序的Web 制有二种组件：认证和授权。基 表单的认证、相互认证。由于能 于表单的认证。Web容器使用在W 资源的访问进行授权。 于J2EE的Web容器提供三种类型的 够对认证用户界面进行定制，大多 eb应用程序的部署描述符中定义的 　　在使用基于表单的认证机制中，应用程序的设计人员和开发人员会遇到3类问题： 　　·基于表单的认证如何 的，因为许多组织已经在数 与数据库和LDAP等其他领域的安 据库和LDAP表单中实现了认证机 全机制协同工作。（这是非常必要 制。） 　　·如何在Web应用程序的部署描述符 （web.xml）中增加或删除军政府的授权角色。 　　·Web容器在Web资源层次上进行授权 上的授权。 ；应用程序则需要在单一的Web资源中执行功能层次 　　尽管有许多与基于表单 多数的应用程序都以自己的 的认证有关的文档和例子，但都 方式襀安全机制。 没有能够阐明这一问题。因此，大 　　本篇文章说明了基于表单的认证如何 协作的问题。它还解释了Web窗口如何使 角色，保护Web资源中的功能。 与其他方面的安全机制，尤其是数据库中的安全机制 用安全角色执行授权以及应用程序如何扩展这些安全 　　基于表单的认证 　　基于表单的认证能够使 了认证机制的类型、登录的 开发人员定制认证的用户界面。 URI和错误页面。 web.xml的login-config小节定义 　　＜login-config＞ 　　＜auth-method＞FORM＜/auth-method＞ 　　＜form-login-config＞ 　　＜form-login＞/ login.jsp＜/form-login ＞ 　　＜form-error＞/ fail_login.html＜/form-error ＞ 　　＜/form-login-config＞ 　　＜/login-config＞ 　　登录表单必须包含输入用户姓名和口 j_password，表单将这二个值发送给j_se 令的字段，它们必须被分别命名为j_username和 curity_check逻辑名字。 　　下面是一个该表单如何在HTML网页中实现的例子： 　　＜form method=POST action=j_s ecurity_check＞ 　　＜input type=text ＞ 　　＜input type=passwo rd ＞ 　　＜/form＞ 　　除非所有的连接都是在 源被访问时，Web容器就会 SSL上实现的，该表单能够透露 激活为该资源配置的认证机制。 用户名和口令。当受保护的Web资