Servlet和JSP的安全问题

编写Servlet和JSP是容易的,但通常我们会面临很多安全问题。当然,我们会在程序中加入大量的安全代码来解决这个问题,但加入这样的安全硬编码将使程序变得不灵活,而且不易维护。因此,在本文中将给出一种无需修改代码即可达到安全目的方法,并提供了一个实例进行说明。

十年的七台河网站建设经验,针对设计、前端、开发、售后、文案、推广等六对一服务,响应快,48小时及时工作处理。网络营销推广的优势是能够根据用户设备显示端的尺寸不同,自动调整七台河建站的显示方式,使网站能够适用不同显示终端,在浏览器中调整网站的宽度,无论在任何一种浏览器上浏览网站,都能展现优雅布局与设计,从而大程度地提升浏览体验。成都创新互联公司从事“七台河网站设计”,“七台河网站推广”以来,每个客户项目都认真落实执行。

在本文中的例子将通过一个用户名和密码以及传输层的SSL来保护应用程序的war文件。用户名和密码以明文在网络中传输。这一切并不需要编辑应用程序中的Java代码和JSP页。而为了使Servlet和JSP页变得安全,我们要做的只是配置web.xml文件而已。

一、设置XML文件

配置web.xml文件的***步是定义一个安全约束,也就是一个 标签。这个标签将保护响应的URL,以使特定的用户才能访问它。注意我们必须要使用 标签定义一个或多个HTTP方法。如果你想让安全约束应用到所有的HTTP方法,那么只要简单的忽略 标签即可。

做完上面的设置后,下一步需要设置SSL。我们可以使用 标签以及这个标签的一个子标签 来设置。却将 的值设置成CONFIDENTIAL。

***一步我们需要设置验证方法。这需要设置 标签以及子标签 。在这里我们将 设为BASIC。下面是web.xml文件的部分内容:

 
 
 
  1. ServletApplication
  2. web-resource-name>
  3. /* url-pattern>
  4. web-resource-collection>
  5. ttrole role-name>
  6. auth-constraint>
  7. CONFIDENTIAL
  8. transport-guarantee>
  9. user-data-constraint>
  10. security-constraint>
  11. BASIC auth-method>
  12. default realm-name>
  13. login-config>
  14. ttrole role-name>
  15. security-role>

在上述的例子中,只有用户"ttrole"才能访问Servlet和JSP页。

在JavaEE环境中将使用这些用户验证,但在许多操作系统环境中,用户和组关联。因此,security-role-mapping在用户头组之间提供了一座桥梁。在JavaEE5应用服务器中,我们可以在sun-application.xml文件中按如下的方式字义security-role-mapping标签:

 
 
 
  1. myrole role-name>
  2. myuser principal-name>
  3. security-role-mapping>
  4. ttrole role-name>
  5. ttgroup group-name>
  6. security-role-mapping>
  7. arole role-name>
  8. ttuser principal-name>
  9. security-role-mapping>
  10. sun-application>

二、运行实例代码

在这一节我们来讲一下如何运行上面的程序。在这里我们使用的集成开发环境是NetBeansIDE5.5以及NetBeans企业开发包。在安装完NetBeans后,我们需要进行以下几步来运行这个程序。

1.首先我们需要下载这个程序,下载连接为:例子代码。然后将其解压。

2.启动NetBeans。

3.打开webann工程(刚才zip文件中的NetBeans工程),如果出现一个"Resolvemissingserverproblem"提示信息,说明应用服务器还没有被加到NetBeans的服务器列表中。我们可以选择Tools>ServerManager,然后将相应的服务器加到列表中。

4.启动Sun内嵌在NetBeans中的JavaSystemApplicationServer。我们还可以通过在命令中输入如下的命令来启动服务器:
/bin/asadminstart-domaindomain1
上面的 是应用服务器的安装目录。

5.建立一个用户。我们可以通过管理控制台来完成的(默认是http://localhost:4848),可按以下步骤操作:
(1)从左侧的管理树中选择Configuration>Security>Realms>file。
(2)单击"ManageUsers",然后单击"New"。
(3)输入以入信息。
UserId:ttuser
GroupList:ttgroup
NewPassword:ttpassword
ConfirmNewPassword:ttpassword
(4)单击"OK",保存设置。

在建立***个用户后,使用同样的方式建立第二个用户ttusers2,输入信息如下:

UserId:ttuser2
GroupList:ttgroup
NewPassword:ttpassword
ConfirmNewPassword:ttpassword

6.按着以下步骤编译NetBeans工程:
(1)右击工程窗口的webann节点。
(2)选择"CleanandBuildProject"。

在这个步骤中将建立ear文件,并将它们放到webann/dist目录中。

7.按着以下步骤发布ear文件:
(1)右击工程中的webann节点。
(2)选择"DeployProject"。

除了上述的发布方法,我们还可以按以下的方式通过管理界面发布:
(1)在左侧的控制树中选择Applications>EnterpriseApplications。
(2)单击"Deploy"。
(3)单击"Browser"按钮找到ear文件
(4)单击"OK"。

我们还可以通过如下的命令行发布ear文件:
asadmindeploywebann.ear

8.下面我们启动浏览器,在地址栏中输入https:// : 是主机名,如果是本机,就是"localhost", 是HTTPS的端口,如8181。

可能由于浏览器的不同,所看到的验证信息不同,但一般会出现一个"unknownauthority",这是因为这个例子使用了self-sign验证。然后浏览器将会出现一个选项,提示您是否继续浏览应用程序。

如果我们选择继续浏览应用程序,系统将会提示我们输入用户名和密码。如果我们使用ttuser登录,将会看到类似如下的响应信息:
Hello,ttuser
EjbMessage:Hello,World,SatJun3012:04:46PDT2007
DataSourcelogintimeout:0

如果我们使用ttuser2登录,将会看到类似如下的响应信息:
Hello,ttuser2
DataSourcelogintimeout:0

之所以它们的响应信息不同是因为它们所角色不同,用户ttuser拥有"ttrole"和"arole"。而ttuser2只有"ttrole",而没有"arole"。在这个应用程序中,只有拥有角色"arole"的用户可以调用SlessLocal.hello(Stringmessage)方法,这个方法返回一个"Hello,World"信息。

当我们运行完这个程序后,可以按着如下的步骤卸载ear文件:
1.通过管理界面面卸载ear文件。
(1)在左侧的功能树中选择Applications>EnterpriseApplications
(2)选择"webann",然后单击"Undeploy"。

2.通过管理界面面删除用户。
(1)选择Configuration>Security>Realmn>file
(2)单击"ManageUsers"。
(3)选择ttuser和ttuser2。
(4)单击"Delete"。

本文名称:Servlet和JSP的安全问题
转载来源:http://www.shufengxianlan.com/qtweb/news41/272291.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联