动态网页开发技术_12_打包与安全.pptVIP

打包与安全 安全配置 很多Web应用程序都需要进行用户身份鉴别，目前的处理方式大多是在页面上输入用户名和密码，然后交由后端的业务逻辑程序判断用户是不是合法用户，是合法用户的话，用户具有什么权限。这种做法从技术上讲是可行的。 在JavaEE中，具有两种安全方式，一种是编程性安全，一种是声明性安全。由于声明性安全不需要编写代码，使用起来十分方便。 JSP中支持JavaEE的声明性安全，WEB应用程序管理员只需要简单配置，就可以达到用户验证的目的。 用户认证方式 在JSP中，支持四种用户认证方式： 基本认证——弹出一个用户认证的窗口，供用户输入用户名和密码，从而确认用户的身份 窗体认证——在窗体上输入用户名和密码，窗体的参数有特殊要求 摘要认证——利用密码的数字摘要进行认证，防止明文存储的密码被攻击者看到 证书认证——使用数字证书进行认证，目前被认为是最安全的认证方式 窗体认证 窗体认证时，用于认证的窗体具有特殊要求，其格式是： form method=POST action=%= response.encodeURL(j_security_check) % Username:input type=text name=j_username Password:input type=password name=j_password input type=submit input type=reset /form 其中，j_security_check、j_username和j_password是规范中规定的，不能更改 配置用户认证方式 用户认证的方式，在web.xml文件中进行配置，其格式是： login-config ?? auth-method认证方式/auth-method !- - 认证方式可以是BASIC、FORM、DIGEST、CLIENT-CERT四种里面的一种-- realm-name安全域的名称/realm-name ?? /login-config ? 如果使用了表单认证，需要在login-config的realm-name后面配置以下内容：? form-login-config ?? form-login登录页面的URL/form-login ?? form-error登录失败页面的URL/form-error ?? /form-login-config 安全域 安全域(Realm)是一个存储用户名，密码以及和用户名相联系的角色的“数据库”，用户名、密码用来验证用户对一个或多个web应用程序的有效性。访问应用程序中特定资源的权限是被授予了拥有特殊角色的用户，而不是相关的用户名。通过与用户名相关联，一个用户可以有任意数量的角色。 Tomcat可以通过“插件”来实现安全域。目前提供了五个标准的插件，用来支持与各个认证信息来源的连接： JDBCRealm——通过JDBC来访问存储在关系数据库里的认证信息。该方式目前较少使用。 DataSourceRealm ——通过一个JNDI 的数据源(DataSource)来访问存储在关系数据库里的认证信息。 JNDIRealm——通过JNDI provider来访问存储在LDAP(轻量目录访问协议)的目录服务器里的认证信息。 MemoryRealm——访问存储在内存里的认证信息，它是通过一个 XML文件(conf/tomcat-users.xml)来进行初始化的。 JAASRealm——使用Java Authentication Authorization Service (JAAS)来进行认证，这种方式具有很强的定制能力。 安全域设置 安全域可以设置成为全局共享的，也可以设置为某个Web应用专有的。配置某个Web应用专有的Realm，需要在其/META-INF/context.xml中配置相应的安全域信息。 MemoryRealm是一个十分简单的Realm实现。它不是为大量用户名称认证而设计的。在启动时，MemoryRealm从一个XML文件装载关于所有用户，以及他们相应的角色的信息(在默认情况下，这个文件从/conf/tomcat-users.xml 被装载)。这个文件里的数据更改直到Tomcat被重新被启动后才会被识别。 用户文件(默认文件conf/tomcat-users.xml必须是一个带有根元素tomcat-users的XML文件。每个合法用户 的user元素嵌套在根元素里，包含有下列属性： name(名称) —— 这个用户必须用来登录的用户名。 password(密码)—— 这个用户登录必须使用的密码。 roles(角色) —— 与这个用户相关的以逗号分隔开的角色名称列单。 在Tomcat进行热部署时，需要用户具有Admin或Mana