JBoss web 如何实现安全访问

最新推荐文章于 2024-10-06 20:16:20 发布
最新推荐文章于 2024-10-06 20:16:20 发布
阅读量155 收藏
点赞数
分类专栏: JBoss 文章标签: java web.xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aoingl/article/details/84421786
版权


   JBoss Web 是 JBoss AS 服务器使用的 Servet contaner, 其实它是一个 Tomcat 的运行时,然后集成到了 JBoss AS 服务器中。 所以这里描述的安全性的实现同样适合于 Tomcat。

 

    Servlet 容器启动的时候, 会针对 HTTP 协议启动一系列的 Acceptor 线程,当一个 HTTP 的请求发送到 Servet 容器的时候, 其中一个 Acceptor 线程会再次启动一个新的线程处理该请求。 在对该请求做了一些列的 pre/post 处理后, tomcat 会调用:

connector.getContainer().getPipeline().getFirst().invoke(request, response);

 方法。

  该方法会调用容器的 pipeline 的第一个 Valve 的 invoke() 方法, 基本上每个 valve 的实现都会考虑调用:

getNext().invoke(request, response);

   这点和 HttpFilter 类似。

   

    而 org.apache.catalina.authenticator.AuthenticatorBase 就是其中一个 valve,我们先看下这个 valve 都作了什么,然后看看它是如何加进当前的 pipeline 的。

 

    首先它会检查当前请求里是否有 principal, 并且该 principal 是否有权限访问当前正在访问的资源, 如果没有, 那么会调用 authenticate 方法进行登录, 如果登录成功,调用 next valve 的 invoke 方法。

 

    那这个 valve 是怎么加到当前的 pipeline 的呢? 当一个 war 部署的时候, 容器会分析 web.xml, 如果web.xml 里有 security-constraint 定义, 那么它会根据当前 login-config 里定义的 auth-method 为其分配一个 Authenticator。 它同时也是一个 Valve,其中 auth-method 一般取值为: 
  • BASIC
  • FORM
  • CLIENT-CERT
  • DIGEST
  • NONE
  除此以外, 用户可以自定义 Authenticator 的 Valve,从而实现更多的 auth-method。以 jboss  下配置 SPNEGO authenticator 为例, 在 jboss-web.xml 里加上如下定义: 
    <valve>
        <class-name>org.jboss.security.negotiation.NegotiationAuthenticator</class-name>
    </valve>
   
    该 Authenticator 会忽略 auth-method 的定义。  JBoss web 就会在该 war 部署的时候,由容器直接把这个 Authenticator 加入到 pipeline。

   

 

aoingl
关注
专栏目录
【漏洞挖掘】——89、JBOSS未授权访问利用
Fly_鹏程万里
06-14 65
JBoss是一个基于J2EE的开放源代码应用服务器,代码遵循LGPL许可,可以在任何商业应用中免费使用,JBoss也是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3规范,默认情况下访问http://ip:8080/jmx-console可以浏览JBoss的部署管理的信息,不需要输入用户名和密码可以直接部署上传木马存在安全隐患。
jboss安全jboss设置安全
07-28
### JBoss安全性设置详解 #### 一、JMX控制台安全性配置 ...以上步骤详细介绍了如何针对JBoss AS中的JMX控制台和Web控制台进行安全性配置,通过这种方式可以有效地限制非授权用户的访问,提高系统的安全性。
JBoss安全问题总结
weixin_34122604的博客
08-06 228
0x00 简介JBoss应用服务器(JBoss AS)是一个被广泛使用的开源Java应用服务器。它是JBoss企业中间件(JEMS)的一部分,并且经常在大型企业中使用。因为这个软件是高度模块化和松耦合的,导致了它很很复杂,同时也使它易成为***者的目标。本文从***者的角度来看,指出JBoss应用服务器存在的潜在风险,并结合例子如何实现如何在JBoss应用服务器上执行任意代码...
配置Spring注入报错
云端飞翔
10-27 990
HTTP Status 500 - -------------------------------------------------------------------------------- type Exception report message description The server encountered an internal error () that prev
数据源配置错误
云端飞翔
08-15 1003
HTTP Status 500 - type Exception report message description The server encountered an internal error () that prevented it from fulfilling this request. exception javax.servlet.ServletException: S
Windows和JbossWeb系统无缝单点登录
wanglei2304202013的专栏
02-11 268
背景: 实现Microsoft@Windows@桌面和基于JBOSS的服务器之间的无缝单点登录。 注:本文不含与kerberos相关的服务器端设置,windows桌面设置相关的内容。 原理: Kerberos:MIT发明的一种网络安全认证协议 SPNEGO:Microsoft对Kerberos进行了扩展,制定了称为简单和受保护的GSSS-API协商机制(Simpl...
JBOSS安全配置
我很全面,我很阳光!
02-12 630
jboss默认配置了以下服务: •  JMX Console •  JBoss Web Console 为了安全起见,需要用户通过授权进行访问。 一、JMX安全配置 STEP 1:     找到%JBOSS_HOME%/server/default/deploy/jmx-console.war/WEB-INF/jboss-web.xml文件,根据说明,去掉注释。 xml 代码 ...
JBoss web服务器漏洞复现
老北京砸酱锤的博客
06-22 987
此漏洞主要是由于JBoss中 /jbossmq-httpil/HTTPServerILServlet路径对外开放,由于JBoss的jmx组件支持Java反序列化,并且在反序列化过程中没有加入有效的安全检测机制,导致攻击者可以传入精心构造好的恶意序列化数据,在jmx对其进行反序列化处理时,导致传入的携带恶意代码的序列化数据执行,造成反序列化漏洞。 漏洞复现过程 1.拉取jboss(CVE-2017-7054)漏洞环境,装载并查看环境是否装在成功 浏览器访问http://localhost:8080.
Web安全总结
博客地址 www.sec0nd.top
06-07 1413
Web安全是指保护Web应用程序免受各种安全威胁的一系列措施和技术。Web安全涉及到多个方面,包括身份认证和授权、访问控制、数据保护、代码安全、网络安全等。为了实现Web安全,需要采取一系列措施,如使用安全的编程语言和框架、实施安全的编码实践、使用安全的协议和加密技术、实施有效的身份认证和授权、实施访问控制和数据保护、实施安全监控和日志记录等。同时,也需要定期进行安全评估和漏洞扫描,及时修补漏洞和弱点。Web安全是保护Web应用程序安全的重要方面,也是保护用户隐私和企业数据安全的关键措施。
jboss-web-3.0.0-beta-2.zip_beta_jboss_jboss web 3.0_jboss-web
09-22
4. **安全管理**:JBoss Web 3.0.0可能包括了增强的安全特性,如JAAS(Java Authentication and Authorization Service)集成,提供用户认证和授权功能,以保护Web应用程序免受未经授权的访问。 5. **性能优化**:...
Web应用安全Web应用服务器.pptx
06-19
为了保护Web应用服务器,需要采取多种措施,如使用最新的安全更新,实施严格的访问控制策略,使用安全编码实践,以及利用防火墙、入侵检测系统等安全工具。 总的来说,Web应用服务器是Web服务的核心,它们需要处理...
JBossWEB应用发布为默认应用程序
05-22
总之,将WEB应用设置为JBoss的默认应用是一项涉及服务器配置和XML解析的任务,通过适当修改`jboss-web.xml`文件并正确部署,可以实现直接通过IP访问应用的目标。在实践中,务必遵循JBoss的官方文档和提供的指南,以...
jboss设置web应用的访问路径,即直接域名+端口访问
驿站
10-25 1614
jboss下将原来以http://localhost:8080/yourapp/test.jsp配置为通过http://localhost:8080/test.jsp进行访问,其方法如下: 在jboss\server\default\deploy\yourapp.war\WEB-INF中创建一个jboss-web.xml,输入如下内容: / 重启jboss,打开浏览器...
Jboss运行WebService报错解决
caixianji的博客
05-24 2988
Jboss运行WebService报错解决
C++学习笔记----8、掌握类与对象(四)---- 不同类型的数据成员(1)
weixin_71738303的博客
10-05 921
c++对于数据成员给了你许多选项。除了在类中声明简单的数据成员,可以生成静态数据成员供所有类的对象共享,const成员,引用成员,reference-to-const成员,等等。本节我们解释一下这些不同类型的数据成员的细节。
JDK1.0主要特性
最新发布
FoolRabbit的专栏
10-06 356
JDK1.0主要特性。
字符函数和字符串函数和内存函数
Java_fenxiang的博客
10-05 701
strtok函数原型与功能概述在 C 语言中,strtok函数的原型为char *strtok(char *str, const char *delim)。它的主要功能是将字符串str按照delim中指定的分隔符进行分割,返回被分割出来的子字符串。工作原理首次调用:当第一次调用strtok时,需要将待分割的字符串str作为...
Spring依赖注入和注解驱动详解和案例示范
J老熊
10-01 1016
在 Spring 框架中,依赖注入(Dependency Injection, DI)和注解驱动(Annotation-Driven)是其核心机制,它们为 Spring 应用提供了灵活性和可扩展性。依赖注入简化了对象间的依赖管理,而注解驱动则通过简洁的注解配置取代了繁琐的 XML 配置。本文将详细分析这两个机制,并通过示例加深理解。
JBossWeb服务器用户指南:高性能部署平台
入门部分主要讲解如何下载软件、运行JBossWeb、部署Web应用以及在Windows系统下将JBossWeb作为服务运行。这些步骤是开始使用JBossWeb的基础。 **3. 开始使用** - **下载软件**:获取JBossWeb的最新版本,并确保满足...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值