将声明性安全用于 Web 应用程序

转载 2007年10月15日 12:58:00

 

下列主题描述了在 web.xmlweblogic.xml 文件中用于定义 Web 应用程序的安全要求的部署描述符元素:

web.xml 部署描述符

WebLogic Server 支持以下与 web.xml 安全相关的部署描述符元素:

auth-constraint

可选的 auth-constraint 元素定义哪些组或委托人有权访问在此安全约束中定义的 Web 资源集合。

下表描述可以在 auth-constraint 元素中定义的元素。

表 3-1 auth-constraint 元素
元素
必需/
可选
描述
<description>
可选
此安全约束的文字描述。
<role-name>
可选
定义哪些安全角色可以访问在此 <security-constraint> 中定义的资源。使用 <security-role-ref> 元素将安全角色名称映射到委托人请参阅 security-role-ref

 

使用位置

security-constraint 元素中使用 auth-constraint 元素。

示例

有关如何在 web.xml 文件中使用 auth-constraint 元素的示例,请参阅清单 3-10

security-constraint

security-constraint 元素在 web.xml 文件中用于定义对 web-resource-collection 元素定义的资源集合的访问权限。

下表描述可在 security-constraint 元素中定义的元素。

表 3-2 security-constraint 元素
元素
必需/
可选
描述
<web-resource-
collection>
必需
定义应用此安全约束的 Web 应用程序的组件。有关详细信息,请参阅 web-resource-collection
<auth-constraint>
可选
定义哪些组或委托人有权访问在此安全约束中定义的 Web 资源的集合。有关详细信息,请参阅 auth-constraint
<user-data-
constraint>
可选
定义应如何保护客户端和服务器之间的通信数据。有关详细信息,请参阅 user-data-constraint

 

示例

清单 3-10 说明如何使用 security-constraint 元素定义 web.xml 文件中的 SecureOrdersEast 资源安全。

清单 3-10 安全约束示例
web.xml entries:
<security-constraint>
     <web-resource-collection>
          <web-resource-name>SecureOrdersEast</web-resource-name>
          <description>
             Security constraint for
             resources in the orders/east directory
          </description>
          <url-pattern>/orders/east/*</url-pattern>
          <http-method>POST</http-method>
          <http-method>GET</http-method>
     </web-resource-collection>
     <auth-constraint>
          <description>
           constraint for east coast sales
          </description>
          <role-name>east</role-name>
          <role-name>manager</role-name>
     </auth-constraint>
 <user-data-constraint>
          <description>SSL not required</description>
          <transport-guarantee>NONE</transport-guarantee>
     </user-data-constraint>
</security-constraint>
...

security-role

security-role 元素包含安全角色的定义。该定义包含安全角色的可选描述和安全角色名称。

下表描述可在 security-role元素中定义的元素。

表 3-3 security-role 元素
元素
必需/
可选
描述
<description>
可选
此安全角色的文字描述。
<role-name>
必需
角色名。此处使用的名称在 WebLogic 特定的部署描述符 weblogic.xml 中必须有对应的条目,该部署描述符将角色映射到安全领域中的委托人。有关详细信息,请参阅 security-role-assignment

 

示例

有关如何在 web.xml 文件中使用 security-role 元素的示例,请参阅清单 3-13

security-role-ref

security-role-ref 元素将 <security-role> 定义的安全角色名链接到使用 Servlet 逻辑进行硬编码的备用角色名。使用此附加提取层,可以在部署时配置 Servlet,且不必更改 Servlet 代码。

下表描述可在 security-role-ref元素中定义的元素。

表 3-4 security-role-ref 元素
元素
必需/
可选
描述
<description>
可选
角色的文字描述。
<role-name>
必需
定义在 Servlet 代码中使用的安全角色或委托人的名称。
<role-link>
必需
定义稍后将在部署描述符中的 <security-role> 元素中定义的安全角色的名称。

 

示例

有关如何在 web.xml 文件中使用 security-role-ref 元素的示例,请参阅清单 3-16

user-data-constraint

user-data-constraint 元素定义应如何保护客户端和服务器之间的通信数据。

下表描述了可以在 user-data-constraint 元素中定义的元素。

表 3-5 user-data-constraint 元素
元素
必需/
可选
描述
<description>
可选
文字描述。
<transport-
guarantee>
必需
指定客户端和服务器之间的通信的数据安全要求。
值范围:
NONE- 应用程序不需要任何传输保证。
INTEGRAL- 应用程序要求数据在客户端和服务器之间传输的过程中不会被更改。
CONFIDENTIAL- 应用程序要求传输数据以防止其他实体观察到传输的内容。
当使用 INTEGRALCONFIDENTIAL 传输保证对用户进行身份验证时,WebLogic Server 会建立安全套接口层 (SSL) 连接。

 

使用位置

security-constraint 元素中使用 user-data-constraint 元素。

示例

有关如何在 web.xml 文件中使用 user-data-constraint 元素的示例,请参阅清单 3-10

web-resource-collection

web-resource-collection 元素标识了一个资源子集,以及在 Web 应用程序中针对这些资源且将应用安全约束的 HTTP 方法。如果未指定 HTTP 方法,则该安全约束应用于所有 HTTP 方法。

下表描述了可以在 web-resource-collection 元素中定义的元素。

表 3-6 web-resource-collection 元素
元素
必需/
可选
描述
<web-resource-name>
必需
此 Web 资源集合的名称。
<description>
可选
Web 资源的文字描述。
<url-pattern>
必需
Web 资源集合的映射或位置。
URL 模式必须使用在 JSR-000154 Java Servlet Specification Version 2.4的 11.2 节中定义的语法。
模式 <url-pattern>/</url-pattern> 将安全约束应用于整个 Web 应用程序。
<http-method>
可选
当客户端尝试访问 Web 资源集合时应用安全约束的 HTTP 方法。如果未指定 HTTP 方法,则安全约束应用于所有 HTTP 方法。

 

使用位置

security-constraint 元素中使用 web-resource-collection 元素。

示例

有关如何在 web.xml 文件中使用 web-resource-collection 元素的示例,请参阅清单 3-10

weblogic.xml 部署描述符

WebLogic Server 支持以下与 weblogic.xml 安全相关的部署描述符元素:

有关 weblogic.xml 部署描述符的其他信息,请参阅使用 WebLogic Server 开发应用程序 中的 XML 部署描述符 部分。

有关 weblogic.xml 元素的其他信息,请参阅开发 WebLogic Server 的 Web 应用程序、Servlet 和 JSP中的 weblogic.xml 部署描述符元素

externally-defined

externally-defined 元素使您可以明确指出,希望由 web.xml 部署描述符的 role-name 元素定义的安全角色使用在管理控制台指定的映射。通过该元素,您可以不必为在特定 Web 应用程序的部署描述符中定义的每个安全角色指定特定的安全角色映射。所以,在同一安全领域中,部署描述符可用于指定和修改某些应用程序的安全性,而管理控制台可用于指定和修改其他应用程序的安全性。

服务器的角色映射行为取决于在管理控制台上选择哪个安全部署模型。有关安全部署模型的信息,请参阅“使用角色和策略确保 WebLogic 资源安全”中的用于确保 Web 应用程序和 EJB 资源安全的选项

注意: 指定安全角色名称时,请遵循以下约定和限制:
  • 安全角色名称的正确语法与可扩展标记语言 (XML) 建议中对 Nmtoken 定义的语法(可从 Web 上获取,网址为 http://www.w3.org/TR/REC-xml#NT-Nmtoken)相同。
  • 不要使用空格、逗号、连字符或以下逗号分隔列表中的任何字符:/t、< >、#、|、&、~、?、( )、{ }。
  • 安全角色名区分大小写。
  • BEA 建议对安全角色名使用以下约定:它们应该独一无二。
使用位置

security-role-assignment 元素中使用 externally-defined 元素。

示例

清单 3-11清单 3-12 以比较的形式说明如何在 weblogic.xml 文件中使用 externally-defined 元素。在 清单 3-12 中,指定 weblogic.xml 中的“webuser” externally-defined 元素的规范意味着,要针对 getReceipts 方法正确配置安全,必须在管理控制台中为 webuser 创建委托人。

注意: 如果需要列出较多数量的委托人,则考虑指定组,而不是指定用户。如果您指定的用户过多,则会引起性能问题。
清单 3-11 使用 web.xml 和 weblogic.xml 文件将安全角色和委托人映射到安全领域
web.xml entries:
<web-app>
...
<security-role>
<role-name>webuser</role-name>
</security-role>
...
</web-app>
<weblogic.xml entries:
<weblogic-web-app>
     <security-role-assignment>
<role-name>webuser</role-name>
<principal-name>myGroup</principal-name>
<principal-name>Bill</principal-name>
<principal-name>Mary</principal-name>
</security-role-assignment>
</weblogic-web-app>
清单 3-12 在 Web 应用程序部署描述符中使用 externally-defined 标记
web.xml entries:
<web-app>
...
<security-role>
<role-name>webuser</role-name>
</security-role>
...
</web-app>
<weblogic.xml entries:
<weblogic-web-app>
     <security-role-assignment>
<role-name>webuser</role-name>
<externally-defined/>
</security-role-assignment>

有关如何使用管理控制台配置 Web 应用程序安全的信息,请参阅使用角色和策略确保 WebLogic 资源安全

run-as-principal-name

run-as-principal-name 元素指定委托人的名称,以用于由配套文件 web.xml 中的 run-as 元素定义的安全角色。

使用位置

run-as-role-assignment 元素中使用 run-as-principal-name 元素。

示例

有关如何使用 run-as-principal-name 元素的示例,请参阅清单 3-13

run-as-role-assignment

run-as-role-assignment 元素将配套文件 web.xml 中的 role-name 元素定义的给定角色名映射到系统中的有效用户名。对于给定 Servlet,此值可由 Servlet 描述符中的 run-as-principal-name 元素替代。如果给定角色名缺少 run-as-role-assignment 元素,则 Web 应用程序容器会选择在 security-role-assignment 元素中定义的第一个委托人名称。

下表描述可在 run-as-role-assignment元素中定义的元素。

表 3-7 run-as-role-assignment 元素
元素
必需
可选
描述
<role-name>
必需
指定在配套文件 web.xml 中的 run-as 元素中定义的安全角色名。
<run-as-principal-name>
必需
指定在配套文件 web.xml 中的 run-as 元素中定义的安全角色名称的委托人。

 

示例:

清单 3-13 说明如何使用 run-as-role-assignment 元素让 SnoopServlet 始终作为用户 joe 执行。

清单 3-13 run-as-role-assignment 元素示例
web.xml:
  <servlet>
<servlet-name>SnoopServlet</servlet-name>
<servlet-class>extra.SnoopServlet</servlet-class>
<run-as>
<role-name>runasrole</role-name>
</run-as>
</servlet>
<security-role>
<role-name>runasrole</role-name>
</security-role>
weblogic.xml:
  <weblogic-web-app>
<run-as-role-assignment>
<role-name>runasrole</role-name>
<run-as-principal-name>joe</run-as-principal-name>
</run-as-role-assignment>
</weblogic-web-app>

security-permission

security-permission 元素指定与 J2EE 沙盒相关联的安全权限。

示例

有关如何使用 security-permission 元素的示例,请参阅清单 3-14

security-permission-spec

security-permission-spec 元素根据安全策略文件语法指定单个安全权限。有关 Sun 的安全权限规范的实现,请参阅以下 URL:

http://java.sun.com/j2se/1.5.0/docs/guide/security/PolicyFiles.html#FileSyntax

注意: 放弃可选的 codebase 和 signedBy 子句。
使用位置

security-permission 元素中使用 security-permission-spec 元素。

示例

清单 3-14 说明如何使用 security-permission-spec 元素将权限授予 java.net.SocketPermission 类。

清单 3-14 security-permission-spec 元素示例
<weblogic-web-app>
<security-permission>
<description>Optional explanation goes here</description>
<security-permission-spec>
<!—
A single grant statement following the syntax of http://java.sun.com/j2se/1.5.0/docs/guide/security/PolicyFiles.html#FileSyntax, without the "codebase" and "signedBy" clauses, goes here. For example:
-->
grant {
permission java.net.SocketPermission "*", "resolve";
};
</security-permission-spec>
</security-permission>
</weblogic-web-app>

清单 3-14 中,权限 java.net.SocketPermission 是权限类名,“*”表示目标名称,resolve 表示操作(解析主机/IP 名称服务查找)。

security-role-assignment

security-role-assignment 元素声明一个安全角色和 WebLogic Server 安全领域中的一个或多个委托人 s 之间的映射。

注意: 有关将 weblogic-application.xml 部署描述符中的 security-role-assignment 元素用于企业应用程序的信息,请参阅“使用 WebLogic Server 开发应用程序”中的企业应用程序部署描述符元素
示例

清单 3-15 说明如何使用 security-role-assignment 元素为委托人分配 PayrollAdmin 角色。

注意: 如果需要列出较多数量的委托人,则考虑指定组,而不是指定用户。如果您指定的用户过多,则会引起性能问题。
清单  3-15 Security-role-assignment 元素示例
<weblogic-web-app>
<security-role-assignment>
<role-name>PayrollAdmin</role-name>
<principal-name>Tanya</principal-name>
<principal-name>Fred</principal-name>
<principal-name>system</principal-name>
</security-role-assignment>
</weblogic-web-app>

 


将编程安全用于 Web 应用程序

您可以在 Servlet 代码中编写 Servlet 以访问用户和安全角色。要执行此操作,请在 servlet 代码中使用下列方法:javax.servlet.http.HttpServletRequest.getUserPrincipaljavax.servlet.http.HttpServletRequest.isUserInRole(String role) 方法。

getUserPrincipal

使用 getUserPrincipal() 方法确定 Web 应用程序的当前用户。如果当前用户中存在一个 WLSUser Principal,此方法会将其返回。如果有多个 WLSUser Principals,则此方法返回由 Subject.getPrincipals().iterator()方法定义的排序中的第一个。如果没有WLSUser Principals,则 getUserPrincipal()方法返回第一个非 WLSGroup Principals。如果没有Principals,或者所有Principals的类型都是 WLSGroup,则此方法返回 null。此行为与 weblogic.security.SubjectUtils.getUserPrincipal() 方法的语义相同。

有关如何使用 getUserPrincipal() 方法的详细信息,请参阅 http://java.sun.com/j2ee/1.4/docs/tutorial/doc/Security4.html

isUserInRole

javax.servlet.http.HttpServletRequest.isUserInRole(String role) 方法返回一个布尔型值,指出是否通过身份验证的用户被授予了指定的逻辑安全“角色”。如果用户没有通过身份验证,该方法返回 false。

isUserInRole() 方法将安全角色映射到安全领域中的组名称。清单 3-16 给出的元素和 <servlet> 元素一起使用,以便在 web.xml 文件中定义安全角色。

清单 3-16 IsUserInRole web.xml 元素和 weblogic.xml 元素
Begin web.xml entries:
...
<servlet>
<security-role-ref>
<role-name>user-rolename</role-name>
<role-link>rolename-link</role-link>
</security-role-ref>
</servlet>
<security-role>
<role-name>rolename-link</role-name>
</security-role>
...
Begin weblogic.xml entries:
...
<security-role-assignment>
<role-name>rolename-link</role-name>
<principal-name>groupname</principal>
<principal-name>username</principal>
</security-role-assignment>
...

字符串 role 映射到在 <role-name> 元素中提供的名称,该元素嵌套在 web.xml 部署描述符中 <servlet>声明的 <security-role-ref> 元素内。<role-name> 元素用于在 Servlet 代码中定义安全角色或委托人(用户或组)的名称。<role-link> 元素映射到在 weblogic.xml 部署描述符中的 <security-role-assignment> 元素中定义的 <role-name>

注意: 指定安全角色名称时,请遵循以下约定和限制:
  • 安全角色名称的正确语法与可扩展标记语言 (XML) 建议中对 Nmtoken 定义的语法(可从 Web 上获取,网址为 http://www.w3.org/TR/REC-xml#NT-Nmtoken)相同。
  • 不要使用空格、逗号、连字符或以下逗号分隔列表中的任何字符:/t、< >、#、|、&、~、?、( )、{ }。
  • 安全角色名区分大小写。
  • BEA 建议对安全角色名使用以下约定:它们应该独一无二。

例如,如果客户端已作为安全角色为 manager 的用户 Bill 成功登录,则以下方法将返回 true:

request.isUserInRole("manager")

清单 3-17 提供了一个示例。

清单 3-17 安全角色映射示例
Servlet code: 
out.println("Is the user a Manager? " +
                 request.isUserInRole("manager"));
web.xml entries:
<servlet>
. . .
   <role-name>manager</role-name>
   <role-link>mgr</role-link>
. . .
</servlet>
<security-role>
   <role-name>mgr</role-name>
</security-role>
weblogic.xml entries:
<security-role-assignment>
<role-name>mgr</role-name>
<principal-name>bostonManagers</principal-name>
<principal-name>Bill</principal-name>
<principal-name>Ralph</principal-name>
</security-role-ref>

 


使用编程身份验证 API

有一些应用程序适合使用编程身份验证。

WebLogic Server 提供服务器端 API。该 API 支持从 Servlet 应用程序中进行编程身份验证:

weblogic.servlet.security.ServletAuthentication

通过使用该 API,可以编写 Servlet 代码来对用户执行身份验证、让用户登录,以及将用户与当前会话相关联,以便在默认(活动)安全领域中注册该用户。完成登录后,看上去就会像是用户使用标准机制登录一样。

您可以选择将 WebLogic 提供的两个类中的任意一个与 ServletAuthentication API 配合使用:weblogic.security.SimpleCallbackHandler 类或 weblogic.security.URLCallbackHandler 类。有关这些类的详细信息,请参阅 Javadocs for WebLogic Classes。

清单 3-18 显示了使用 SimpleCallbackHandler 的示例。清单 3-19 显示了使用 URLCallbackHandler 的示例。

清单 3-18 使用 SimpleCallbackHandler 类的编程身份验证代码片段
CallbackHandler handler = new SimpleCallbackHandler(username,
                                                               password);
Subject mySubject =
weblogic.security.services.Authentication.login(handler);
weblogic.servlet.security.ServletAuthentication.runAs(mySubject, request);
// 该处请求为 httpservletrequest 对象。
清单 3-19 使用 URLCallbackHandler 类的编程身份验证代码片段
CallbackHandler handler = new URLCallbackHandler(username,
                                                           password);
Subject mySubject =
weblogic.security.services.Authentication.login(handler);
weblogic.servlet.security.ServletAuthentication.runAs(mySubject, request);
// 该处请求httpservletrequest 对象。 

web安全性考虑的几方面

随着存在安全隐患的Web应用程序数量的骤增,Open Web Application Security Project (开放式Web应用程序安全项目,缩写为OWASP)总结出了现有Web应用程序在安...
  • test_soy
  • test_soy
  • 2015年11月16日 16:17
  • 1364

Java Web基础知识之安全:人生苦短,注意安全

关于web程序中的安全方面,想必大多数人都不甚了解,或者说感觉没有必要了解,身边开发网站的人主要就是注重后台的功能和前台的界面,不要说程序的安全问题,甚至后台数据库访问的问题可能都没有下大力气解决。但...
  • lmy86263
  • lmy86263
  • 2016年06月02日 19:44
  • 4842

java-web之servlet中的线程安全问题

一,servlet容器如何同时处理多个请求。 Servlet采用多线程来处理多个请求同时访问,Servelet容器维护了一个线程池来服务请求。 线程池实际上是等待执行代码的一组线程叫做工作者线...
  • A1023824314
  • A1023824314
  • 2016年07月25日 00:01
  • 2791

关于web应用程序安全的思考(修改版)

来源:http://www.cnblogs.com/tsoukw/archive/2008/11/17/1334829.html  序 曾经在一家公司有过这样的经历:上班第一天﹐同事在公司的内部网...
  • xiaozhupiggg
  • xiaozhupiggg
  • 2011年12月10日 20:31
  • 397

Tomcat服务器Web安全应用程序

先介绍一下Tomcat,Tomcat服务器是一个免费的开源Web应用服务器,它是Apache软件基金会的Jakarta项目中的一个核心项目,由Apache、Sun和爱他一些公司及个人共同开发。   ...
  • hanyulongseucas
  • hanyulongseucas
  • 2012年12月14日 20:23
  • 190

JavaEE(二)---Web 应用程序安全性问题及基本安全实施策略

注:本文是答9.web中安全性问题的考虑,如何防止 的,仅为了自己学习,向原博主致敬。 原博文网址:http://www.cnblogs.com/sunniest/p/4646515.html 一...
  • u014656992
  • u014656992
  • 2016年03月09日 13:38
  • 786

利用wmap进行Web应用程序安全审计

首先非常感谢HDMoor的团队开发了Metasploit,是他们让我能够站在巨人的肩膀上学习,对黑客的认知与理解更上一层楼,也感谢offensive security团队,没有这些顶尖黑客的付出,便没...
  • Sufeiboy
  • Sufeiboy
  • 2017年02月17日 14:41
  • 759

[轻微]WEB服务器启用了OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat下禁用不安全的http方法

使用了360网站安全检测 查到有OPTIONS方法 第一步:修改应用程序的web.xml文件的协议 xml version="1.0" encoding="UTF-8"?>...
  • qq_35624642
  • qq_35624642
  • 2017年06月10日 09:51
  • 2154

Web应用程序安全必须重视八大问题

对于任何一个项目,开始阶段对于交付安全的应用来说非常关键。适当的安全要求会导致正确的安全设计。下面讨论在分析Web应用程序的安全要求时需要考虑的八大问题。 1、认证和口令管理:这主要是一种一次性...
  • supingemail
  • supingemail
  • 2014年02月18日 11:19
  • 470

再探 Web 应用程序配置安全.doc

  • 2014年02月28日 18:19
  • 324KB
  • 下载
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:将声明性安全用于 Web 应用程序
举报原因:
原因补充:

(最多只允许输入30个字)