Servlet安全的4大要素
Servlet安全可以划分为4大概念:认证、授权、机密性、数据完整性。
容器端认证过程
没有口令时:
1.接到请求,容器在安全表里面查找URL。
2.找到URL后,容器会确认所请求的资源是否受限。
有口令时:
1.接到请求,容器在安全表里面查找URL。
2.找到URL后,容器会确认所请求的资源是否受限,如果受限会检查用户名和口令。
3.如果用户名和口令确实匹配,容器会查看为这个用户指派的角色是否允许访问这个资源,如果可以,则把资源返回给客户
注意:对于大多数Web应用,安全约束应该以声明方式处理,即在部署文件中指定。这样有利于应用的可扩展性和维护性,也体现了基于组件开发的思想。
第一步:定义角色
开发商特定:
在Tomcat的conf目录下建立一个文件叫tomcat-users.xml。
<tomcat-users> <role rolename="jim"> <role rolename="Green"> .... <user username="Bald" password="admin" roles="Jim"> .... </tomcat-users> SERVLET规范:
在web.xml中增加元素
<security-role><role-name>Admin</role-name></security-role> .... <!--下面这部分必不可少--> <login-config> <auth-method>BASIC</auth-method> </login-config> 第二步:定义资源
<security-constraint> <web-resource-collection> <web-resource-name>UpdateRecipes</web-resource-name> <!--中间的那个名字是必须的--> <url-pattern>xxxx</url-pattern><!--定义受限资源--> <http-method>GET</http-method><!--定义请求方法--> </web-resource-collection> <auth-constraint> <role-name>xxxx</role-name> <!--定义授权角色--> </auth-constraint> </security-constraint> 关于这块,还有很多细枝末节的地方需要注意,这里只了解各大概,之后会继续完善。
原文链接:https://www.cnblogs.com/xuehanlee/p/4609519.html
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/18073
