JEE的安全认证机制.docx

随心编辑,值得下载拥有! YOUR COMPA NY NAME IS HERE专业I专注I精心I卓越 【安全生产】JEE的安全认 证机制 实现 Web 应用程序的安全机制是 Web 应用程序的设计人员和编程人员必须面对的任 务。在J2EE中，Web容器支持应用程序内置的安全机制。 Web 应用程序的安全机制有二种组件：认证和授权。基于 J2EE 的 Web 容器提供三种 类型的认证机制：基本认证、基于表单的认证、相互认证。由于能够对认证用户界面进行定 制，大多数的 Web 应用程序都使用基于表单的认证。 Web 容器使用在 Web 应用程序的部 署描述符中定义的安全角色对应用程序的 Web 资源的访问进行授权。 在使用基于表单的认证机制中，应用程序的设计人员和开发人员会遇到 3 类问题： ?基于表单的认证如何与数据库和 LDAP等其他领域的安全机制协同工作。 （这是非常必 要的，因为许多组织已经在数据库和 LDAP 表单中实现了认证机制。 ） ?如何在Web应用程序的部署描述符（web.xml ）中增加或删除军政府的授权角色。 Web容器在 Web资源层次上进行授权；应用程序则需要在单一的 Web资源中执行 功能层次上的授权。 尽管有许多与基于表单的认证有关的文档和例子，但都没有能够阐明这一问题。因此， 大多数的应用程序都以自己的方式襀安全机制。 本篇文章说明了基于表单的认证如何与其他方面的安全机制， 尤其是数据库中的安全机 v v form method="POST" action="j_security_check" > 制协作的问题。 它还解释了 Web 窗口如何使用安全角色执行授权以及应用程序如何扩展这 些安全角色，保护 Web 资源中的功能。 基于表单的认证 基于表单的认证能够使开发人员定制认证的用户界面。 web.xml 的 login-config 小节 定义了认证机制的类型、登录的 URI 和错误页面。 v logi n-config > v auth-method > FORM v /auth-method > v form-login-config > v form-login > /login.jsp v /form-login > v form-error > /fail_login.html v /form-error > v /form-login-config > v /login-config > 登录表单必须包含输入用户姓名和口令的字段， 它们必须被分别命名为 j_username 和 j_password ，表单将这二个值发送给 j_security_check 逻辑名字。 面是一个该表单如何在 HTML 网页中实现的例子： v v in put type="text" n ame="j_user name" > v in put type="password" n ame="j_password" > v /form > 除非所有的连接都是在 SSL 上实现的，该表单能够透露用户名和口令。 当受保护的 Web 资源被访问时， Web 容器就会激活为该资源配置的认证机制。 为了实现 Web 应用程序的安全， Web 容器执行下面的步骤： 1、 在受保护的 Web 资源被访问时，判断用户是否被认证。 2、 如果用户没有得到认证，则通过重定向到部署描述符中定义的注册页面，要求用户 提供安全信任状。 3、根据为该容器配置的安全领域，确认用户的信任状有效。 4、判断得到认证的用户是否被授权访问部署描述符( web.xml )中定义的 Web 资源。 象基本的安全认证机制那样，在 Web 应用程序的部署描述符中，基于表单的认证不指 定安全区域。 也就是说， 它不明确地定义用来认证用户的安全区域类型， 这就会在它使用什 么样的安全区域认证用户方面引起混淆。 要对用户进行验证， Web 窗口需要完成下面的步骤： 1、判断该容器配置的安全区域。 2、使用该安全区域进行认证。 由于数据库和 LDAP 在维护信息方面提供了更大的灵活性，因此大多数组织都会希望 继续使用它们维护安全认证和授权信息。 许多 Web 窗口都支持不同类型的安全区域：数据库、 LDAP 和定制区域。例如，在 Tomcat Web 容器中， server.xml 将数据库配置为其安全区域。 v Realm className="org.apache.catalina.realm.JDBCRealm" debug="99" driverName="oracle.jdbc.driver.OracleDriver" connectionURL="jdbc:oracle:thin:@{IPAddress}:{Port}:{Servicenam