Java EE Web应用程序中的身份验证替代方案

最新推荐文章于 2023-10-07 18:21:46 发布
最新推荐文章于 2023-10-07 18:21:46 发布
阅读量141 收藏
点赞数
文章标签: java python linux http 大数据

15年前,我开始在Java EE平台上进行开发(是的,您没看错)。 那时,在Webapp中进行身份验证的唯一方法是通过回调。 最新的Java EE版本提供了替代方法。

这篇文章旨在描述它们的工作方式及其各自的优点。<!-more-→

传统方式

自J2EE 1.3(可能更早,但是我不是考古学家)以来,可用的方法是通过回调机制:平台仅在用户尝试访问受保护的资源时要求用户提供凭据。 如果凭据被接受,则对用户进行身份验证。 然后,将其访问权限与访问资源所需的访问权限进行匹配。 如果他们匹配,他被允许; 否则,他会收到403错误。

这引起了一些问题:

  1. 什么是资源?
  2. 如何将访问权限附加到资源?
  3. 如何要求用户提供凭据?
  4. 如何配置用户的访问权限?
  5. 如何注销?

资源和角色

在Java EE Web应用程序中,资源是纯URL:

  • admin
  • secure/configure
  • 等等

可以使用简单的模式对资源进行分组(它在开始或结尾处允许* ,但不能更多)。

为了保护一个资源或一组资源,一个资源与一个角色相关联。 角色只是一个字符串。

角色及其相关资源都在web.xml部署描述符中配置: 

<?xml version="1.0" encoding="UTF-8"?>
<web-app>
    <security-constraint>
        <web-resource-collection>
            <web-resource-name> Administration </web-resource-name>
            <url-pattern> /administration/* </url-pattern>
        </web-resource-collection>
        <auth-constraint>
            <role-name> admin </role-name>
        </auth-constraint>
    </security-constraint>
    <security-role>
        <role-name> admin </role-name>
    </security-role>
</web-app>
在<security-constraint>中使用角色之前,必须在单独的<security-role>标记中声明角色。

要求提供凭证

Java EE提供了4种验证方式:

  • 基本的
  • 消化
  • 形成
  • 和客户证书

我们将只介绍“基础”和“形式”,因为它们是最常用的。

基本的

基本身份验证基于浏览器。 当未经身份验证的用户尝试访问受保护的资源时,平台将返回401 HTTP状态代码。 浏览器拦截响应,并显示一个本机弹出窗口,要求输入登录名和密码。 如果凭据检查失败,则会再次向用户显示弹出窗口,直到成功为止。

通过身份验证的用户是否可以访问资源取决于其角色。 
<?xml version="1.0" encoding="UTF-8"?>
<web-app>
  <login-config>
    <auth-method> BASIC </auth-method>
  </login-config>
</web-app>
形成

表单身份验证基于服务器。 当未经身份验证的用户尝试访问受保护的资源时,平台将返回配置的登录表单。 

<?xml version="1.0" encoding="UTF-8"?>
<web-app>
  <login-config>
    <auth-method> FORM </auth-method>
    <form-login-config>
      <form-login-page> /WEB-INF/page/login.jsp </form-login-page>
      <form-error-page> /WEB-INF/page/error.jsp </form-error-page>
    </form-login-config>
  </login-config>
</web-app>

注销

过去,注销经过身份验证的用户的方法非常简单: 

response.invalidate();

不幸的是,以上代码行有效地破坏了会话中存储的所有内容,包括与身份验证无关的数据,例如用户首选项( 例如主题)。

使用注释

Servlet API的版本3利用了注释,并允许使用它们来限制访问servlet所允许的角色。

例如,以下等效于第一个XML代码段: 

@WebServlet("/adminstration/foo")
@ServletSecurity(
    @HttpConstraint(rolesAllowed="admin")
)
publicclassFooServletextendsHttpServlet{
}

显然,它对于一个特定的servlet非常有效。 但是,如果不同的servlet需要由同一角色保护,则必须在每个servlet上复制注释。

程序化API

上述身份验证回调的主要问题在于,它是为基于页面的导航而设计的。 如果webapp是单页应用程序 ,则必须使用URL处理技巧才能使其正常工作。

权限检查

Java EE允许保护URL,甚至URL / HTTP方法对。 对于SPA,这还不够。 即使在传统的Web应用程序中,对于某些用例,不同的doXXX()方法可能也不足够精确。 另外,根据用户角色,JSP的各个部分可能有所不同。

因此,Servlet API提供了HttpServletRequest.isUserInRole(String role)方法来检查用户是否具有特定角色。

JSTL没有为此提供现成的等效方法。

验证中

像检查一样,绑定到URL的身份验证回调不容易与SPA集成。 为了解决这个问题,Servlet API v3提供了HttpServletRequest.login(String username, String password)方法,以编程方式对用户进行身份验证。

对称的HttpServletRequest.logout()方法允许取消对已验证用户的身份验证,而不会丢失此用户会话中存储的数据。

结论

与往常一样,了解可用工具是值得的。 为此,有必要保持最新的API更改。

翻译自: https://blog.frankel.ch/authentication-alternatives-javaee/

dlz00001
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java ee 部署_【JavaEE 基础】部署 Web 应用
weixin_34439836的博客
02-16 356
摘要JavaEE 开发部署网站应用的常见方式总结,本文以 Tomcat 为例,列举三种方式:配置 tomcat 配置文件、打包应用放置特定位置、创建专属配置文件方法一:在 server.xml 指定在 Tomcat 的 conf 目录,在 server.xml 的,节点添加:path="/myapp"reloadable="true"docBase="D:\myapp"workDir=...
java登录验证码方案,【JavaWeb】(11)Java实现验证码打造
weixin_33371440的博客
03-16 235
JavaWeb】(11)Java实现验证码制作1. 使用Servlet实现验证码首先创建工程,实现jsp代码:function reloadCode() {var time = new Date().getTime();document.getElementById("image_code").src = "/servlet/ImageServlet?d="+ time;}验证码:src="/s...
Eclipse各个版本及区别
热门推荐
木槿的博客
03-09 2万+
Eclipse IDE for Java Developers 该版本适合Java开发者,集成CVS,Git,XML编辑器,Mylyn, Maven integration和WindowBuilder等插件。Eclipse IDE for Java EE Developers 该版本集成了Java ee开发常用插件,方便动态web网站开发。适合Java web开发者使用。集成了XML编辑器、数据库
Java EE的安全机制
成长的足迹
02-05 1214
1. 安全相关的概念识别(Identification)是在系统认出一个实体的过程。认证(Authentication)是在系统验证一个实体的身份的过程。授权(Authorizatioin)也称为访问控制,在系统控制一个实体对资源的访问。Realm是在服务器定义的安全策略域。一个Realm定义用户用户组及其之间的关系。Role是在应用定义的访问某些资源的许可的统称。Principal是...
JAVA EEWEB)的创建与配置(一劳永逸法)+创建servlet及其配置+JAVA EE打war包和部署至tomcat
qq_53679247的博客
10-22 1979
15 打开选择新建项目,我们发现了多出来个java EE(Legacy) ,哈哈这个就是一劳永逸的模板呀!war包,一种压缩文件,(主要是节省空间,提高部署/上传到服务器的速度)在tomcat的webapps会被自动解压。20 我们回到我们的 Servelet类在service随便写一点打印代码,并调试程序启动,可以看到如下效果,OK,搞定!18 我们回到目录WEB-INF文件夹web.xml文件,右击鼠标选择生成(快捷键Alt+Insert)2 进入到如下路径(我的是这样的)
JEE_-_Middleware_TP:Java EE间件实践活动
04-18
6. **安全机制**:学习如何在Java EE应用实现身份验证和授权,如JAAS(Java Authentication and Authorization Service)。 7. **微服务架构**:可能涉及将大型Java EE应用拆分为更小、独立的微服务,每个服务都...
《基于JAVA EE的毕业选题系统的设计与实现》校外开题报告.docx
06-05
JAVA EEJava Platform, Enterprise Edition)是Java平台的企业版,主要用于开发和部署多层结构的、分布式的、面向服务的Web应用程序。 在当前信息化时代,网络技术和办公自动化已成为社会发展的重要驱动力,学校...
Java EE 7 Recipes
11-27
- 本章将讨论Java EE的安全性和认证机制,包括如何实现用户身份验证、授权和加密等。 - 安全是任何企业级应用不可或缺的一部分,掌握Java EE的安全机制对于保护敏感数据至关重要。 ##### 15. **Java Web Services...
《基于JAVA EE的毕业选题系统的设计与实现》校外开题报告.pdf
05-29
- 用户登录:支持管理员、教师和学生身份验证。 5. **实验方案**: - 系统采用B/S架构,开发技术JAVA EE,数据库选用MySQL。 - MySQL因其小巧、快速、低成本且开源的特点,常用于小型网站数据库。 6. **...
张龙 java web 课件
01-21
12. **Web安全**:包括身份验证、授权、防止SQL注入、XSS攻击等,是Java Web开发不容忽视的部分。 张龙的Java Web课件可能涵盖了以上提到的许多主题,并通过实例和练习帮助学习者逐步掌握这些技能。通过深入学习...
2021-04-09
qq_44730056的博客
04-09 227
Tomcat 10.0.5 运行 javaee web项目 前言: 由于兴趣发现apache发布了tomcat10版本,于是兴致勃勃的打算试用一下看看有什么更好的性能,发现之前在tomcat9及之前版本可以运行的项目在10上跑不起来,故事就此展开. 查看官网: 官网说需要迁移工具,网上也有很多教程,这里就不赘述迁移工具的使用教程了,这里贴上迁移工具github链接:https://github.com/apache/tomcat-jakartaee-migration,码云链接https://gitee.
spring boot ruoyi tomcat windows 部署war包
wonder_dog的博客
01-31 839
spring boot ruoyi war tomcat 部署
1.Tomcat和JavaEE入门
最新发布
qq_43303296的博客
10-07 237
JAVAEEJava Enterprise Edition),Java企业版,是一个用于企业级web开发的平台。最早由Sun公司定制并发布,后由Oracle负责为负。
JavaEE】Tomcat手动搭建一个webapp(不用idea)
weixin_62589078的博客
03-18 2095
在Tomcat上手动搭建一个webapp,体验servlet规范。
JavaEE简介和Tomcat的使用以及组件的介绍
m0_64704865的博客
04-02 583
JavaEEJava Enterprise Edition),Java企业版,是一个用于企业级web开发平台,它是一组Specification。最早由Sun公司定制并发布,后由Oracle负责维护。在JavaEE平台规范了在开发企业级web应用技术标准。在JavaEE平台共包含了13个技术规范(随着JavaEE版本的变化所包含的技术点的数量会有增多)。
Java EE】-Servlet(一) 创建Maven下的webapp项目
m0_63979882的博客
05-06 1371
创建一个基于maven的web项目,1> 创建目录 2> 引入依赖 3> 创建目录结构 4> 编写代码 5> 打包程序 6> 部署程序 7> 验证。引入maven依赖的详细步骤、使用Smart Tomcat插件在idea内部内置Tomcat,省去打包和部署的操作!
Javaweb】于Eclipse for JavaEE编译一个项目Tomcat下的webapps却没有的解决方法
编程记录,亲测有效
01-09 4227
从官网下载的Eclipse for JavaEE成功配置好tomcat服务器,然后把WEB工程成功配置到Tomcat,输入http://localhost:8080/工程名/index.jsp(8080为Tomcat的端口,index.jsp为要访问的页面)能够成功运行,可以自己手工在Windows资源管理器打开Tomcat下的Webapps想把这个编译好的项目取去来,上传到服务器上,却发现没有
将Spring Boot Web应用部署到Tomcat服务器
码农哈里
11-21 1517
将Spring Boot Web应用部署到Tomcat服务器
Tomcat10无法加载webapps下的项目
蕃薯耀的博客
12-27 1812
一、Tomcat10无法加载webapps下的项目的原因 Applications that run on Tomcat 9 and earlier will not run on Tomcat 10 without changes. Tomcat 10.0.14 Released The Apache Tomcat Project is proud to announce the release of version 10.0.14 of Apache Tomcat. This releas...
Java EE Web应用基础:构建消息应用程序
JavaEE Web应用开发Java Enterprise Edition(JavaEE)是企业级应用开发的标准平台,它提供了一系列的API和服务,使得开发者能够构建分布式、多层的Web应用程序。这本书的标题和描述表明,它将帮助初学者理解...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值