Servlet安全的4大要素
Servlet安全可以划分为4大概念:认证、授权、机密性、数据完整性。
认证
容器端认证过程
没有口令时:
1.接到请求,容器在安全表里面查找URL。
2.找到URL后,容器会确认所请求的资源是否受限。
有口令时:
1.接到请求,容器在安全表里面查找URL。
2.找到URL后,容器会确认所请求的资源是否受限,如果受限会检查用户名和口令。
3.如果用户名和口令确实匹配,容器会查看为这个用户指派的角色是否允许访问这个资源,如果可以,则把资源返回给客户
注意:对于大多数Web应用,安全约束应该以声明方式处理,即在部署文件中指定。这样有利于应用的可扩展性和维护性,也体现了基于组件开发的思想。
授权
第一步:定义角色
开发商特定:
在Tomcat的conf目录下建立一个文件叫tomcat-users.xml。
<tomcat-users>
<role rolename="jim">
<role rolename="Green">
....
<user username="Bald" password="admin" roles="Jim">
....
</tomcat-users>
SERVLET规范:
在web.xml中增加元素
<security-role><role-name>Admin</role-name></security-role>
....
<!--下面这部分必不可少-->
<login-config>
<auth-method>BASIC</auth-method>
</login-config>
第二步:定义资源
<security-constraint>
<web-resource-collection>
<web-resource-name>UpdateRecipes</web-resource-name> <!--中间的那个名字是必须的-->
<url-pattern>xxxx</url-pattern><!--定义受限资源-->
<http-method>GET</http-method><!--定义请求方法-->
</web-resource-collection>
<auth-constraint>
<role-name>xxxx</role-name> <!--定义授权角色-->
</auth-constraint>
</security-constraint>
关于这块,还有很多细枝末节的地方需要注意,这里只了解各大概,之后会继续完善。