关于Servlet安全策略和GlassFish中的相关设置

关于Servlet安全策略和GlassFish中的相关设置

为了对HTTP所请求的资源进行相应的保护，需要对不同的请求设置不同的权限从而对请求资源进行保护。

对Java EE 7中Servlet安全策略的配置有2中方式。一种是通过注解的方式；一种是通过在部署文件web.xml中设置的方式。不管哪种方式，对于请求的访问控制都是在具体的请求方法和URL上进行的。比如有个servlet定义的url为/helloworld，对于该servlet，GET方法和POST方法的访问约束是独立的。

• 注解的方式

通过@ServletSecurity注解进行配置就可以实现对servlet请求的访问控制。该注解包含2个元素，一个是@HttpConstraint，另一个是@HttpMethodConstraint。后者是对特定的HTTP方法的访问约束，前者是对后者没有定义的所有的HTTP方法的访问约束。两个注解中都可以定义允许访问的角色（rolesAllowed，默认值是空），访问通道是否需要加密（transportGuarantee，默认值是NONE），在没有定义访问角色的情况下默认的访问设置（value，默认值是EmptyRoleAllowed.DENY）。

• 部署文件中的配置方式

在部署文件中通过标签<security-constraint>进行访问约束配置。该标签有三个部分，<web-resource-collection>用于定义具体进行约束的url（通过<url-pattern>）和HTTP方法（通过<http-method>或<http-omission-method>），<auth-constraint>用于定义具有访问权限的用户组（<role-name>），<user-data-constraint>用于定义传输通道是否需要加密（<transport-guarantee>）。对于同一组url和HTTP方法，可能有多个<security-consstraint>进行联合约束定义（更一般的情况是在某个security-constraint中可能定义了比较广泛的访问约束从而与后面特定的security-constraint定义产生了一些冲突或重合），至于最终的具体行为则根据一些规则进行判定。

 

完成servlet的访问约束定义后，还要对在GlassFish中定义相关的具有访问权限的用户。GlassFish中的用户是在realm中进行定义。每一个realm表示一种具体的安全策略域，在这个域中的用户都遵守相同的安全策略。GlassFish默认有admin-realm、file、certificate 3种realm。普通的用户验证使用file域，certificate主要用于证书验证，admin-realm用于服务器的管理员管理。

添加用户之后，要设置Default Principal to Role Mapping。在Configuration>server-config>security设置中就可以看见该选项。

 

相关内容具体可参看官方文档：http://docs.oracle.com/javaee/6/tutorial/doc/bncbx.html