15,tomcat安全

最新推荐文章于 2024-04-26 14:00:07 发布
最新推荐文章于 2024-04-26 14:00:07 发布
阅读量58 收藏
点赞数
分类专栏: tomcat 文章标签: java web.xml 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cunyan/article/details/84356225
版权

有些web应用程序的内容是有限制的,只允许有权限的用户在提供正确的用户名和密码的情况下才允许访问。
Servlet通过配置部署文件web.xml来对安全性提供技术支持
一个servlet通过一个叫authenticator的阀门(valve)来支持安全性限制。
当容器启动的时候,authenticator被添加到容器的流水线上
authenticator阀门会在包装器阀门之前被调用。authenticator用于对用户进行验证,
如果用户熟人了正确的用户名和密码,authenticator阀门调用下一个用于处理请求servlet的阀门。
如果验证失败,authenticator不唤醒下一个阀门直接返回。由于验证失败,用户并不能看到请求的servlet。

(域)Realm
域是用于进行用户验证的一个组件,它可以告诉你一个用户名密码对是否是合法的。
。一个域跟一个上下文容器相联系,一个容器可以只有一个域。可以使用容器的setRealm方法来建立它们之间的联系。
在Tomcat的默认实现里,合法用户被存储在tomcat-users.xml文件里。
但是可以使用域的其它实现来访问其它的源,如关系数据库。

一个域用接口org.apache.catalina.Realm表示。该接口最重要的方法是四个authenticate方法:

public Principal authenticate(String username, String credentials);
 public Principal authenticate(String username, byte[] credentials);
 public Principal authenticate(String username, String digest,
                                  String nonce, String nc, String cnonce,
                                  String qop, String realm,
                                  String md5a2);
public Principal authenticate(X509Certificate certs[]);
域还有getContainer和setContainer方法用于建立域与容器的联系。

一个域的基本上实现是抽象类org.apache.catalina.realm.RealmBase。
org.apache.catalina.realm包中海提供了其它一些类继承了RealmBase
如:JDBCRealm, JNDIRealm, MemoryRealm,和 UserDatabaseRealm。默认情况下使用的域是MemoryRealm

LoginConfig类
一个login configuration包括一个域名,用org.apache.catalina.deploy.LoginConfig类表示。
LoginConfig的实例封装了域名和验证要用的方法。可以使用LoginConfig实例的getRealmName方法来获得域名,
可以使用getAuthName方法来验证用户。
Tomcat一个部署启动的时候,先读取web.xml。如果web.xml包括一个login-confgi元素,
Tomcat创建一LoginConfig对象并相应的设置它的属性。验证阀门调用LoginConfig的getRealmName方法并将域名发送给浏览器显示登录表单。

Authenticator类
Authenticator接口用来表示一个验证器。该方接口并没有方法,只是一个组件的标志器,
这样就能使用instanceof来检查一个组件是否为验证器。
Catalina提供了Authenticator接口的基本实现:org.apache.catalina.authenticator.AuthenticatorBase类。
除了实现Authenticator接口外,AuthenticatorBase还继承了org.apache.catalina.valves.ValveBase类
BasicAuthenticator用于基本验证, FormAuthenticator用于基于表单的验证, DigestAuthentication用于摘要(digest)验证,
SSLAuthenticator用于SSL验证。
NonLoginAuthenticator用于Tomcat没有指定验证元素的时候。
一个验证器的主要工作是验证用户。因此,AuthenticatorBase类的invoke方法调用了抽象方法authenticate,该方法的具体实现由子类完成


安装Authenticator阀门
在部署文件中,只能出现一个login-config元素,login-config元素包括了auth-method元素用于定义验证方法。
这也就是说一个上下文容器只能有一个LoginConfig对象来使用一个authentication的实现类。

例子10

 

cunyan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
14-1 tomcat安全基线检查
weixin_43263566的博客
12-07 1410
Apache Tomcat 是一款广泛使用的开源Web应用服务器,它主要实现了Java Servlet、JavaServer Pages (JSP) 和 Java Expression Language 规范,使得开发者可以构建和部署由Java编写的Web应用程序。作为一个成熟且经过广泛测试的解决方案,Tomcat 在业界享有较高的声誉,特别是因为其对于Web应用的高效运行支持,即便是在性能相对有限的硬件平台上,也能保证良好的运行效率。
apache-tomcat-9.0.0.M15.zip
06-05
按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全局管理和Tomcat阀等。由于Tomcat本身也内含了HTTP服务器...
知识库--Realm实现(52)
qfzhangwei的专栏
12-17 305
Here is a SimpleRealm class in following demonstrates how a realm works. This class contains two hard-coded user name and password. public class SimpleRealm implements Realm { public SimpleRealm()
tomcat十大安全优化措施
Alai_programmer的博客
04-17 442
tomcat十大安全优化措施 1、telnet管理端口保护 使用telnet连接进来可以输入SHUTDOWN可以直接关闭tomcat,极不安全,必须关闭。可以修改默认的管理端口8005改为其他端口,修改SHUTDOWN指令为其他字符串。 # vi conf/server.xm...
Apache Tomcat 强化和安全指南
allway2的博客
07-17 292
但是,在生产环境中,您可能希望使用一些Web服务器(如Apache、Nginx)作为前端来将请求路由到Tomcat。启用SSL后,最好将所有HTTP请求强制重定向到HTTPS,以确保用户与Tomcat应用程序服务器之间的安全通信。这是为中间件管理员、应用程序支持、系统分析师或任何工作或渴望学习Tomcat强化和安全的人设计的。默认情况下,Tomcat附带以下Web应用程序,在生产环境中可能需要也可能不需要。使用服务器横幅会暴露您正在使用的产品和版本,并导致信息泄露漏洞。......
Tomcat安全优化
江晓龙的博客
11-19 767
Tomcat安全优化 1.Tomcat启动端口优化 1)8005端口优化 8005端口是tcp的管理端口,修改默认的8005端口为不易猜测的端口,可以是大于1024的任意端口。 <Server port="8527" shutdown="SHUTDOWN"> 2)8009端口优化 8009端口为Ajp协议连接保护端口,针对8009端口的优化可以分为两部分。 1.修改默认8009端口为不易猜测的大于1024的端口。 2.通过iptables规则限制ajp端口访问的权限。 <Connecto
apache-tomcat-9.0.0.M15.tar.gz
06-05
按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全局管理和Tomcat阀等。由于Tomcat本身也内含了HTTP服务器...
Tomcat最佳实践.rar
07-27
Tomcat最佳实践 1,WEB SERVER介绍 2,TOMCAT目录结构 3,TOMCAT端口管理 ...14,TOMCAT安全策略 15TOMCAT的URL编码格式 16,TOMCAT传输压缩 17,TOMCAT集群和负载均衡 18,ECD部门AP(TOMCAT)部署规范
TOMCAT最佳实践
04-02
1,WEB SERVER介绍 2,TOMCAT目录结构 3,TOMCAT端口管理 ...5,TOMCAT配置数据库 ...14,TOMCAT安全策略 15TOMCAT的URL编码格式 16,TOMCAT传输压缩 17,TOMCAT集群和负载均衡 18,ECD部门AP(TOMCAT)部署规范
Tomcat配置管理实践
10-27
1,WEB SERVER介绍 2,TOMCAT目录结构 3,TOMCAT端口管理 ...5,TOMCAT配置数据库 ...14,TOMCAT安全策略 15TOMCAT的URL编码格式 16,TOMCAT传输压缩 17,TOMCAT集群和负载均衡 18,ECD部门AP(TOMCAT)部署规范
mybatisPlus使用MetaObjectHandler对字段进行更新
m0_56356631的博客
04-23 337
都是符合我们的预期的。
string模拟实现
m0_73969414的博客
04-23 1444
c++中string的模拟实现,面试必会知识点
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 606
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
javaweb-SpringBoot基础
kussm_的博客
04-20 1342
Spring的官网(Spring的简介:Spring makes Java simple。Spring Boot 可以帮助我们非常快速的构建应用程序、简化开发、提高效率。创建一个子包controller。
第5 章 Consul服务注册与发现
a13763926743的博客
04-22 760
consul官网地址。
迭代器模式
LuckFairyLuckBaby的博客
04-23 524
迭代器模式(Iterator),提供一种方法顺序访问一个聚合对象中各个元素,而又不暴露该对象的内部表示。
Java | 冒泡排序算法实现
yingzix688的博客
04-24 718
题目描述 编写一个Java程序,实现冒泡排序算法。程序需要能够接收一个整型数组作为输入,并输出排序后的数组。 冒泡排序是一种简单的排序算法,它重复地走访过要排序的数列,一次比较两个元素,如果他们的顺序错误就把他们交换过来。走访数列的工作是重复地进行直到没有再需要交换,也就是说该数列已经排序完成。
java通过Comparator比较器对集合进行多属性连续分组内升降排序,以及null空值排最前或最后
hkl_Forever的博客
04-26 156
一、排序数据准备,分别对 one、two、three 三个属性进行连续分组内排序。连续排序,并且把被排序属性值为null的排在最后。连续排序,并且把被排序属性值为null的排在最后。
@Value
最新发布
思索的涟漪,突破自我
04-26 188
Value注解是 Spring 框架中的一个注解,用于从属性文件、环境变量、Java 系统属性等地方读取值,并将这些值注入到 Spring 管理的 Bean 中。
1.Tomcat默认端口号是多少?(5) 2.HTTP常见的状态码有哪些写出其代表的意思。(写出3个)(6) 3.Jsp页面由那些元素组成(写五个)(10) 4.Get请求和post请求的区别(10) 5.分别使用重定向和转发实现跳转login.jsp页面(10) 6.request对象和response对象的作用。(12) 7.Jsp的四大作用域(从小到大)(12) 8.Cookie和session的区别(12) 9.请写出9个jsp的内置对象(18) 10使用Session和cookie分别存储一个数据并将存储的值取出(15
06-01
1. Tomcat 默认端口号是 8080。 2. 常见的 HTTP 状态码有 200 OK(请求成功)、404 Not Found(未找到请求的资源)和 500 Internal Server Error(服务器内部错误)。 3. JSP 页面由 、! %>、、<% %> 和 HTML 标签等...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值