JavaEE提供了JAAS安全机制,在架构一个web系统时,可以根据这个标准来保护系统的安全。
先对JAAS标准作个简单介绍,JAAS为Java企业应用提供了安全规范和接口,规范主要由JavaEE服务器实现,接口则面向服务实现以及应用开发。一个安全的web系统,必须对其访问用户进行访问范围的控制,在JAAS中,这种控制体现在用户的角色上。举个例子,假设一个web系统(假设为http://www.asys.com)有两个受保护的url资源分别为Area-1(http://www.asys.com/areaone)和Area-2(http://www.asys.com/areatwo),系统中有两种角色Role1和Role2,根据约定,只有属于Role1的用户才能访问Area-1,另外只有拥有Role2角色的用户才能访问Area-2,如何实现呢?很简单,根据JAAS标准,可以通过在一个JavaEE服务器中进行相应的配置来实现声明式的JAAS安全。以tomcat5.0为例,首先,在conf/tomcat-users.xml这个文件,你可以定义用户信息和角色对应关系:
xml 代码
xml version='1.0' encoding='utf-8'?>
<tomcat-users>
<role rolename="Role1"/>
<role rolename="Role2"/>
<user username="user1" password="123" roles="Role1"/>
<user username="user2" password="456" roles="Role2"/>
tomcat-users>
以上设置相当于定义了安全机制依赖的用户角色元数据,那么接下来就是将角色与受保护的资源进行关联声明设置,这一步需要在你具体的web应用程序的部署文件web.xml(也可以是其他部署文件比如ejb描述文件)中进行:
xml 代码
xml version="1.0" encoding="UTF-8"?>
<web-app version="2.4"
xmlns="http://java.sun.com/xml/ns/j2ee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee
http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">
<login-config>
<auth-method>FORMauth-method>
<form-login-config>
<form-login-page>/login.jspform-login-page>
<form-error-page>/error.jspform-error-page>
form-login-config>
login-config>
<security-constraint>
<web-resource-collection>
<web-resource-name>Area-1web-resource-name>
<url-pattern>/areaoneurl-pattern>
web-resource-collection>
<auth-constraint>
<role-name>Role1role-name>
auth-constraint>
security-constraint>
<security-constraint>
<web-resource-collection>
<web-resource-name>Area-2web-resource-name>
<url-pattern>/areatwourl-pattern>
web-resource-collection>
<auth-constraint>
<role-name>Role2role-name>
auth-constraint>
security-constraint>
<security-role>
<role-name>Role1role-name>
security-role>
<security-role>
<role-name>Role2role-name>
security-role>
web-app>
由于xml有很好的自我描述性,上面的信息意义比较明确,如果看过前面的假设案例,再具体琢磨一下应该明白,在这里就不过多解释。不过需要交待的是这个<login-config><login-config>标签,这个用途就是指定登陆签权的方式,根据JAAS标准,有BASIC/FORM/DIGEST等几种登陆方式,BASIC估计很多人在访问一些网站时碰到过,浏览器中打开一个登陆窗口,需要输入用户名密码才能访问某个资源,这种方式非常简单,是真正意义上的“声明式安全”,根本不需要编写任何代码,但是安全性和灵活性较差,这里姑且先不讨论BASIC和DIGEST模式,只讨论用得非常多的FORM模式,这种模式就是用html表单来提交用户名和密码,优点是灵活,比如你可以把登陆界面搞得更为花哨,但是有一点也比较讨厌的是,根据JAAS标准,这个登陆表单的提交Action必须是"action=/j_security_check",另外用户名密码参数名必须是j_username和j_password,为什么说它讨厌,就是你想搞得自我一些是没辙了,比如你要先通过自己的action,做一些业务逻辑或者往数据库写些什么,对不起没门,你只能提交到/j_security_check这个 url,而且,服务器验证通过后,它会自动转向你想访问的受保护资源,当然你可以通过filter来实现后置的登陆处理,但是这种方式也有问题,比如,你想加个验证码机制,用户除了输入用户名密码外,还要输对验证码才能登陆,那就无法用后置处理加以实现了。到这里你可能会咒骂,“这个JAAS是什么个标准?!居然如此不灵活!“,解决这个问题可以通过服务器端的response.sendRedirect来实现自定义登陆操作验证再执行 j_security_check,但这有个毛病是用户名密码再来回一次浏览器和服务器,安全性和效率都不好,在本文中,老黄博客用一种不同的方式,就是在服务器端通过httpclient代替用户端的浏览器来执行j_security_check操作,这样就解决了这个矛盾,你想前置或者后置进行 j_security_check检查都可以,并且完全提供开源源代码,:)
具体思路是这样的,在服务器端获取到用户名、密码、sessionid、并生成j_security_check的完整url路径,调用 JSecurityCheckHelper这个对象的doCheck方法就可以完成签权,同时JSecurityCheckHelper还支持SSL和服务代理(这可是花了老黄近一个月的心血啊)。JSecurityCheckHelper的代码骨架如下:
package laohuang.helper.jaas;
/**
* <code>JSecurityCheckHelper</code>利用HttpClient实现JAAS签权。
*
* @author newman.huang
* @version 1.0 2007/2/26
*/
public class JSecurityCheckHelper {
private HttpClient httpClient;
static{
loadProxyConfig();
registerHttps();
}
//加载代理属性
private static void loadProxyConfig(){
...
}
//注册https协议以支持HttpClient通过SSL通讯
@SuppressWarnings("deprecation")
private static void registerHttps(){
...
}
/**
* 构建。
*
*/
public JSecurityCheckHelper(){
...
}
/**
* 执行j_security_check。
*/
public String doCheck(String userName, String password,
String jSessionId, String jSecCheckFullURL) throws SecurityCheckException {
...
}
//设置代理以通过代理执行j_security_check校验
private void setProxy(){
...
}
//生成HttpClient Cookie
private Cookie genRequestCookie(String jSessionId,String fullURL){
...
}
//通过url获取cookie的域名
private static String parseCookieDomainName(String url){
...
}
//辅助方法,执行一个get请求,仅供测试使用
private void doGetRequest(String url){
...
}
//辅助方法,获取当前JSESSIONID,仅供测试使用
private String getJSessionId(){
...
}
...
}
本实现可以解决j_security_check Form验证的不灵活弊端,也可以将代码集成到有需要的客户端测试当中,另外,可以充当学习HttpClient的范例代码。正如硬币都有正反两面,这个解决方案没有遵循server/Client分离的实现原则,如果放置在服务器端,在不同的应用环境下,需要处理的细节过多,比如需要关注传输协议细节(SSL),是否使用代理等等,尽管如此,</login-config></login-config>JSecurityCheckHelper还是都为你提供了这些实现。
<login-config><login-config>
</login-config></login-config>
JSecurityCheckHelper.zip (7.8 KB)
分享到:
相关推荐
import org.apache.commons.httpclient.HttpClient; import org.apache.commons.httpclient.HttpException; import org.apache.commons.httpclient.HttpStatus; import org.apache.commons.httpclient.methods....
org.apache.commons.httpclient-3.1.jar 用于解决httpclient jar包依赖!!!
org.apache.commons.httpclient
真正的 org.apache.commons.httpclient.source 源码
http://jakarta.apache.org/commons/httpclient/ org.apache.commons.httpclient.URI org.apache.commons.httpclient.Wire org.apache.commons.httpclient.Cookie org.apache.commons.httpclient.Header org.apache.commons...
org.apache.commons.httpclient.HttpClient; 使用到的相关架包,压缩包中有三个,使用的时候倒要导入!
commons-codec-1.3.jar;commons-httpclient-3.0.jar;commons-logging.jar
在httpclient4.x中没有commons-httpclient-3.0.jar,无法使用import org.apache.commons.httpclient.HttpClient; import org.apache.commons.httpclient.HttpException; import org.apache.commons.httpclient....
包括了httpclient的所有包,commons-httpclient3.0.jar,httpclient4.0.jar,commons-logging1.1.1.jar,commons-codec-1.3.jar等
ApacheCommons-HTTPClient组件的应用.doc
apache-commons下全部官方源码和官方API文档,其中有: commons-beanutils-1.8.0 commons-codec commons-collections commons-dbcp commons-dbutils commons-fileupload commons-io commons-lang commons-lang3 ...
Apache Commons是一个非常有用的工具包,解决各种实际的通用问题。(附件中提供了该工具包的jar包,及源文件以供研究) BeanUtils Commons-BeanUtils 提供对 Java 反射和自省API的包装 Betwixt Betwixt提供将 ...
org.apache.commons.httpclient jar包,最新org.apache.commons.httpclient
org.apache.commons.httpclient-3.8.0.jar包,需要请下载,主要是内部实现客户端编程实例,进而方便自己编程,可下载导入到自己工程里进行安装测试。 第一种解决方法:去maven仓库的对应目录清掉文件夹里面的...
apache-commons-httpclient.jar欢迎下载欢迎下载欢迎下载!
包含org.apache.commons.httpclient的最新资源包
小贝程序员生活\jar\lib\com.springsource.org.apache.commons.httpclient-3.1.0.jar 小贝程序员生活\jar\lib\com.springsource.org.apache.commons.httpclient-3.1.0.jar 小贝程序员生活\jar\lib\...
commons-httpclient.zip