Servlet 安全方法

最新推荐文章于 2023-02-21 12:57:15 发布
最新推荐文章于 2023-02-21 12:57:15 发布
阅读量298 收藏
点赞数

Servlet 安全方法

authenticate、login、logout、getRemoteUser、isUserInRole 和 getAuthType 等 Servlet 安全方法,都是 javax.servlet.http.HttpServletRequest 介面的方法。

authenticate

註:  在 WebSphere® Application Server 的這個版本中,authenticate、login 和 logout 是適用於 Java Servlet 3.0 的新 Servlet 安全方法。

authenticate 方法利用 Servlet 環境定義所配置的 WebSphere Application Server 儲存器登入機制來鑑別使用者。

authenticate 方法的語法如下: 
boolean authenticate(HttpServletResponse response))
上一個範例使用下列元素:
response
關聯於 HttpServletRequest 的 HttpServletResponse。

在建立好鑑別或鑑別成功之後,authenticate 方法會傳回 true

如果鑑別尚未完成,而基礎登入機制已在回應中確定要傳回使用者的訊息和 HTTP 狀態碼,鑑別方法會傳回 false

如果撰寫回應時發生錯誤,會發生 java.io.IOException。

如果鑑別失敗,且呼叫端負責處理錯誤,例如,基礎登入機制未建立要傳回使用者的訊息和 HTTP 狀態碼,就會發生 ServletException。

避免困難 避免困難:  當呼叫鑑別方法時,請注意下列各項:
  • WebSphere Application Server 會向用戶端傳送 HTTP 401 碼。
  • 方法取決於 Servlet 環境定義所配置的 WebSphere Application Server 儲存器登入機制。 比方說,如果您定義了這個 Servlet 的表單登入,就會提示輸入使用者名稱和密碼。 用戶端將使用者 ID 和密碼傳給 WebSphere Application Server 來進行鑑別。
重要:  請確定鑑別方法傳回   true,再利用新主體來呼叫另一個服務。 例如: 
Boolean authResultTrue = req.authenticate(response);
		if (!authResultTrue) {
	return;
} else {
	// 利用新的呼叫主體來呼叫其他服務。
	      }

login

這個登入方法讓使用者以使用者 ID 和密碼來接受 WebSphere Application Server 的鑑別。 如果鑑別成功,就會在執行緒和「小型認證機構 (LTPA)」Cookie(如果啟用單一登入 (SSO) 的話)上建立一個使用者主體。

登入方法的語法如下: 
login(java.lang.String username, java.lang.String password)
上一個範例使用下列元素:
username
對應於使用者登入 ID 的字串值。
password
使用者的密碼。

如果配置的登入機制不支援使用者名稱和密碼鑑別、身分已鑑別過的(在呼叫登入之前),或提供的使用者名稱和密碼驗證失敗,就會發生 ServletException。

註:  您可以將安全自訂內容 com.ibm.websphere.security.webAlwaysLogin 設為   true,它會以使用者名稱和密碼來接受 WebSphere 應用程式的鑑別,即使已接受鑑別也一樣。

如需修改安全自訂內容的相關資訊,請參閱「修改廣域安全配置或安全網域配置中現有的自訂內容」一文。

註:  login 方法一律利用使用者 ID 和密碼來接受 WebSphere 應用程式伺服器的鑑別,即使 HttpServletRequest 中有 SSO 資訊也是如此。
避免困難 避免困難:  authenticate 和 login 方法會將呼叫主體設為新的主體。 如果呼叫端主體是 null,就會將呼叫端主體設為新主體。 如果呼叫端主體不是 null,呼叫端主體就不會設為新主體。

由於 authenticate 和 login 方法會將呼叫主體設為新的主體,系統不會處理部署描述子、安全註釋或動態註釋中的 run-As 屬性所定義的執行身分。

logout

logout 方法會將使用者登出 WebSphere Application Server,並使 HTTP 階段作業失效。在這個程序期間,WebSphere Application Server 會完成下列程序:
  • 如果已啟用 SSO,就會清除 LTPA Cookie
  • 使 HTTP 階段作業失效
  • 從鑑別快取中移除使用者
  • 從執行緒中移除使用者主體
  • 清除呼叫端和呼叫主體
  • 將鑑別類型設為 null

登出之後,存取受保護的 Web 資源需要重新鑑別,getUserPrincipal、getRemoteUser 和 getAuthType 方法會傳回 null

logout 方法的語法如下: 
logout()

如果登出失敗,就會發生 ServletException。

authenticate、login 和 logout 方法的審核事件類型

如果要審核 authenticate、login 和 logout 方法,您必須建立或延伸某些審核事件類型檔案。 這些事件類型不是預設事件類型檔案的一部分。

表 1. authenticate、login 和 logout 方法的審核事件類型.

authenticate、login 和 logout 方法所需要的審核事件類型如下:

方法 審核事件名稱 事件的審核結果
authenticate/login SECURITY_AUTHN SUCCESS 和/或 FAILURE
logout SECURITY_AUTHN_TERMINATE SUCCESS
logout SECURITY_AUTHN_TERMINATE FAILURE

isUserInRole

(字串角色名稱):如果將指定的安全角色授與遠端使用者,就會傳回 true。 如果沒有將指定的角色授與遠端使用者,或沒有任何已鑑別的角色,它會傳回 false

getRemoteUser

如果使用者已鑑別過,getRemoteUser 方法會傳回發出要求之使用者的登入。 如果使用者未鑑別,getRemoteUser 方法會傳回 null

getAuthType

getAuthType 方法會傳回用來保護 Servlet 的鑑別方法名稱。 如果 Servlet 未受保護,getAuthType 方法會傳回 null

使用的鑑別方法如下:
FORM
當使用表單型鑑別時。
BASIC
當使用基本鑑別時。
CLIENT_CERT
當使用用戶端憑證鑑別時。
註:
getRemoteUser 和 getAuthType 這兩個方法傳回的資料,會隨著 Servlet 部署其中的應用程式伺服器是否啟用安全而不同。 可能性如下:
  • 如果啟用應用程式安全,Servlet 受到保護,則 getRemoteUser 方法會傳回登入,getAuthType 方法會傳回配置的鑑別方法。
  • 如果未啟用應用程式安全,這兩個方法都會傳回 null
相關工作:
 參照主題      
資訊中心條款  | 

前次更新: January 09, 2015 04:00 PM EST 
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-nd-dist&topic=rsec_secgetru
檔名: rsec_secgetru.html
forest_glm
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Servlet线程安全的解决方法
10-10
当两个或多个线程同时访问同一个Servlet时,可能会发生多个线程同时访问同一资源的情况,数据可能会变得不一致,所以就很容易造成一系列的一些安全性问题。
Servlet学习笔记 - HttpServletRequest、HttpServletResponse
向心行者
03-09 470
1、前言   在《Servlet学习笔记 -ServletRequest、ServletResponse》内容中,已经学习了在Servlet应用中的的request、response两个重要的接口。今天我们来学习在Servlet应用扩展了Http协议后对应的两个接口,分别是:HttpServletRequest、HttpServletResponse。 2、HttpServletRequest  ...
Servlet线程安全问题
Charon_rr的博客
02-21 182
Servlet容器会自动使用线程池等技术来当两个或多个线程同时访问同一个Servlet时,可能会发生多个线程同时访问同一资源的情况,数据可能会变得不一致。所以在用Servlet构建的Web应用时如果不注意线程安全的问题,会使所写的Servlet程序有难以发现的错误支持系统的运行。该接口指定了系统如何处理对同一个Servlet的调用。如果一个Servlet被这个接口指定,那么在这个Servlet中的service方法将不会有两个线程被同时执行,当然也就不存在线程安全的问题。通过同步块操作来保证线程的安全
authenticate(request, response)
nethub2的专栏
08-05 964
public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {response.setContentType(CONTENT_TYPE); if (authenti...
解决上线web项目部署WebSphere Application Server下面乱码问题
Developer of XingKong22star
08-29 1243
项目测试运行期间搜索出现乱码,
servlet常用的方法
weixin_52223050的博客
08-21 1120
servlet常用的方法
servlet线程安全问题
PDyee的博客
02-09 2558
Servlet线程安全问题 线程安全问题 当我们访问servlet的时候,我们需要执行实例化操作,创建一个servlet对象。而我们tomcat容器可以让多个线程并发访问Servlet,如果在方法当中对成员变量做修改,就会出现线程安全问题。 如何保证线程安全 1、synchronized :这种方式会大量的造成线程堵塞 public class MyServlet extends GenericServlet{ @Override public synchronized void service(S
Servlet方法详解
itzhuzhu的博客
10-29 1694
概念: Servlet是SUN公司提供的一套规范,名称就叫Servlet规范,它也是JavaEE规范之一。使用JavaEE的API。目前在Oracle官网中的最新版本是JavaEE8, Servlet是一个运行在web服务端的java小程序 它可以用于接收和响应客户端的请求 要想实现Servlet功能,可以实现Servlet接口,继承GenericServlet或者HttpServlet 每次请求都会执行service方法 Servlet还支持配置 Servlet执行过程: 客户端浏览器发起请求
servlet线程安全吗?
weixin_49374214的博客
01-07 710
目录servlet线程安全吗?servlet执行流程web 容器能为每个请求创建一个Servlet的实例吗?SingleThreadModelspringmvc是线程安全的吗?springmvc singleton有几种解决方法总结 servlet线程安全吗? servlet默认是单例模式,在web容器中只创建一个实例,所以多个线程同时访问的时候,是非线程安全的。 servlet执行流程 客户端发送请求给服务器。 服务器开始接受,先判断该请求的servlet实例是否存在,如果不存在先装载一个servle
访问Servlet安全限制
stay hungry ! stay foolish!
01-27 1547
访问Servlet安全限制 现在,可以指示服务器使用何种验证方法了。“了不起,”你说道,“除非我能指定一个来收到保护的URL,否则没有多大用处。”没错。指出这些URL并说明他们应该得到何种保护正是security-constriaint元素的用途。此元素在web.xml中应该出现在login-config的紧前面。它包含是个可能的子元素,分别是:web-resource-collection、
Servlet生命周期与线程安全
qq_43203949的博客
06-23 809
Servlet生命周期分为三个阶段:init 方法被设计成只调用一次。它在第一次创建 Servlet 时被调用。(在Servlet容器中,一个Servlet实例只初始化一次),如果多个用户请求同一个URL,那么用户访问的是同一个Servlet实例。Servlet 创建于用户第一次调用对应于该 Servlet 的 URL 时,但是也可以指定 Servlet 在服务器第一次启动时被加载。(通过load-on-startup来设置启动时立刻加载)service() 方法是执行实际任务的主要方法Servlet
Servlet是线程不安全的1
08-08
先从Servlet的工作原理说起:首先简单解释一下Servlet接收和响应客户请求的过程,首先客户发送一个请求,Servlet是调用service()方法对请求
Java™ Servlet 规范.
03-01
1.4 Servlet 与其他技术的比较 ........................................................................................................................14 1.5 与 Java 平台企业版的关系 ......................
基于方法管理的安全调用框架walker-securityrpc
06-20
1、walker-securityrpc是一个安全调用servlet以及webservice的简单框架,它的目标场景如下: 1.1、你为别的系统提供了公开的servlet或者webservice,也增加了客户端访问的密码,但是可能存在 多个客户调用,而且他们...
tomcat服务器安全设置方法
01-20
JSP技术提供了一种处理动态生成的 HTML 页面的简便方法,这些 HTML 页面被直接编译成 Servlet 以用于快速执行时作业。Tomcat除了上述的两种技术保障安全之外,还可以通过配置Tomcat的参数以增加安全安全设置: 1....
智能制造的数字化工厂规划qytp.pptx
05-14
智能制造的数字化工厂规划qytp.pptx
罗兰贝格:德隆人力资源管理体系gltp.pptx
05-14
罗兰贝格:德隆人力资源管理体系gltp.pptx
JAVA3D的网络三维技术的设计与实现.zip
05-14
JAVA3D的网络三维技术的设计与实现
setuptools-11.3.1.tar.gz
最新发布
05-14
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
servletapi
10-12
Servlet接口定义了处理请求和生成响应的方法,开发人员需要实现这个接口来编写自己的Servlet类。此外,javax.servlet.http包扩展了javax.servlet包,提供了处理HTTP请求和响应的额外功能。 使用Servlet API,开发...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值