Java Web应用开发技术第13章 JavaWeb应用程序安全.pptVIP

2．HTTP摘要验证 HTTP摘要验证与基本验证类似，除了密码是以加密格式发送。这种验证机制将使数据更安全。 HTTP摘要验证的优点为它比基本验证更安全。缺点是只被IE5支持；因为规范没有要求，很多Servlet容器不支持这种验证方式。 3．HTTP客户端验证 HTTP是在SSL（安全套接字层）之上的HTTP。SSL是Netscape开发的，用于确保敏感数据在Internet上安全传输的一种协议。在这种机制，验证在浏览器和服务器之间的SSL连接建立时执行，所有的数据以公用密钥密码方式加密传输，而这都是由浏览器和Servlet容器处理的，对Servlet开发者来说是透明的。 HTTP客户端验证的优点是，它是四种验证类型中最安全的，几乎所有的主页浏览器都支持它。缺点是它需要从证书授权机构（例如Verisign）授权的SSL证书，实现和维护的代价比较高。 4．HTTP基于表单的验证 这种机制与基本验证类似。但是，与基本验证不同的是，它不用浏览器的弹出对话框，而是使用HTML捕获用户名和密码。开发者必须创建包含表单的网页，这个网页我们可以自定义外观，表单的唯一需求是表单的action属性必须是j_securituy_check，并且表单中必须有两个字段：j_username和j_password，其他的都是可以自定义的。 基于表单的验证的优点是容易实现，所有的浏览器都支持，可以定义登录界面的外观。其缺点是不安全，因为用户名和密码都没有被加密；只能在当会话使用cookie或者HTTP的情况下使用。 13.2.2 为Web应用程序定义验证机制 （1）在Tomcat中配置使用 Tomcat在tomcat-root\conf\tomcat-users. xml中定义所有的用户。下面的代码片段是该文件默认的内容。 tomcat-users user name=tomcat password=tomcat roles=tomcat / user name=rolel password=tomcat roles=rolel / user name=both password=tomcat roles=tomcat,rolel / / tomcat-users 现在给tomcat-users. xml文件添加三个条目。 tomcat-users user name=tomcat password=tomcat roles=tomcat / user name=rolel password=tomcat roles=rolel / user name=both password=tomcat roles=tomcat,rolel / user name=john password=jjj roles=employee / user name=mary password=mmm roles=employee / user name=bob password=bbb roles=employee,supervisor / /tomcat-users （2）指定验证机制 验证机制通过部署描述文件login-config元素指定。Servlet规范中对login-config元素定义了三个子元素。 ① auth-method。该元素指定用于验证用户的四种验证方法之一：BASIC、DIGEST、CLIENT-CERT或FORM。 ② realm-name。该元素只用在HTTP基本验证中指定领域名。 ③ form-login-config。该元素指定登录页面的URL和错误页面URL，这个元素只用在auth-method为FORM时。 如下是表示验证机制配置的一段web. xml代码。 web-app … login-config auth-methodBASIC/auth-method realm-namesales/realm-name … web-app 如果想使用FORM机制，则需要编写两个HTML页面：一个用于捕获用户名和密码，另一个用于登录失败时显示错误消息。最后，需要在form-login-config元素指定这些HTML文件 web-app ... login-config auth-methodFORM/auth-method !--在基于表单的验证中不需要real-name-- form-login-config form-login/formlogin.html /form-login form-error/formerror.html /form-error /form-login /login ... web-app formlogin.html文