关于Servlet安全策略和GlassFish中的相关设置
为了对HTTP所请求的资源进行相应的保护,需要对不同的请求设置不同的权限从而对请求资源进行保护。
对Java EE 7中Servlet安全策略的配置有2中方式。一种是通过注解的方式;一种是通过在部署文件web.xml中设置的方式。不管哪种方式,对于请求的访问控制都是在具体的请求方法和URL上进行的。比如有个servlet定义的url为/helloworld,对于该servlet,GET方法和POST方法的访问约束是独立的。
-
注解的方式
通过@ServletSecurity注解进行配置就可以实现对servlet请求的访问控制。该注解包含2个元素,一个是@HttpConstraint,另一个是@HttpMethodConstraint。后者是对特定的HTTP方法的访问约束,前者是对后者没有定义的所有的HTTP方法的访问约束。两个注解中都可以定义允许访问的角色(rolesAllowed,默认值是空),访问通道是否需要加密(transportGuarantee,默认值是NONE),在没有定义访问角色的情况下默认的访问设置(value,默认值是EmptyRoleAllowed.DENY)。
-
部署文件中的配置方式
在部署文件中通过标签<security-constraint>进行访问约束配置。该标签有三个部分,<web-resource-collection>用于定义具体进行约束的url(通过<url-pattern>)和HTTP方法(通过<http-method>或<http-omission-method>),<auth-constraint>用于定义具有访问权限的用户组(<role-name>),<user-data-constraint>用于定义传输通道是否需要加密(<transport-guarantee>)。对于同一组url和HTTP方法,可能有多个<security-consstraint>进行联合约束定义(更一般的情况是在某个security-constraint中可能定义了比较广泛的访问约束从而与后面特定的security-constraint定义产生了一些冲突或重合),至于最终的具体行为则根据一些规则进行判定。
完成servlet的访问约束定义后,还要对在GlassFish中定义相关的具有访问权限的用户。GlassFish中的用户是在realm中进行定义。每一个realm表示一种具体的安全策略域,在这个域中的用户都遵守相同的安全策略。GlassFish默认有admin-realm、file、certificate 3种realm。普通的用户验证使用file域,certificate主要用于证书验证,admin-realm用于服务器的管理员管理。
添加用户之后,要设置Default Principal to Role Mapping。在Configuration>server-config>security设置中就可以看见该选项。
相关内容具体可参看官方文档:http://docs.oracle.com/javaee/6/tutorial/doc/bncbx.html