Struts 2应用程序安全功能的配置详解

最新推荐文章于 2018-10-24 15:12:08 发布
最新推荐文章于 2018-10-24 15:12:08 发布
阅读量592 收藏
点赞数

【IT168技术】安全性是Web应用程序开发工作中最关键的问题之一。在基于servlet的应用程序里,保护应用程序资源的办法有两种:一是对应用程序进行配置(web.xml),二是使用Java代码硬编码到程序中。前一种方法使用配置文件,该方法很灵活,这是因为通过使用配置文件,无需改写任何代码就可以改变安全策略,是一种常见的手段。而Struts 2是基于servlet技术的,所以Struts 2的安全策略也可以使用配置文件进行灵活的配置。 

  配置安全策略时,有两个概念需要清楚的区分 ,用户和角色,简单的说用户为使用计算机的人,可以是个人或组织。角色是一个抽象的概念,泛指职务或者权限。例如,张三,李四,王五三个人,有职员、主管和经理三个职务(权限),张三是用户,张三可以是主管职务,代表张三这个用户含有主管的权利。

  不同的servlet容器所提供的用户和角色管理机制是不相同的。我使用的是Tomcat服务器,它提供的用户和角色管理机制文件是在其安装目录下的conf目录中的tomcat-users.xml文件,可以在这个文件里完成对用户和角色的编辑。例如:

< tomcat - users >
     < role rolename = " tomcat " />
     < role rolename = " role1 " />
     < user username = " tomcat "  password = " tomcat "  roles = " tomcat " />
     < user username = " both "  password = " tomcat "  roles = " tomcat,role1 " />
     < user username = " role1 "  password = " tomcat "  roles = " role1 " />
</ tomcat - users >

  这个文件定义了2个角色(tomcat和role1)和3名用户(tomcat、both和role1)。你可以在tomcat-users.xml文件里定义任意多个用户和角色。

  使用Struts 2保护应用程序的资源

  Struts 2应用程序的安全策略是通过部署web.xml文件中的security-constraint元素实现的,该元素的语法定义:

<! ELEMENT security - constraint (display - name ? , web - resource - collection + , auth - constraint ? , user - data - constraint ? ) >
<! ELEMENT display - name (#PCDATA) >
<! ELEMENT web - resource - collection (web - resource - name, description ? , url - pattern * , http - method * ) >
<! ELEMENT auth - constraint (description ? , role - name * ) >
<! ELEMENT user - data - constraint (description ? , transport - guarantee) >

   该语法说明了,security-constraint元素可以有一个可选的display-name子元素,至少一个web-resource-collection子元素,一个可选的auth-constraint子元素和一个可选的user-data-constraint子元素。

  web-resource-collection子元素是用来列出打算保护的Web资源,具体的做法是为这些资源设置URL限制,它是通过设置web-resource-collection元素包含的子元素实现的:

  ①web-resource-name:是与受保护资源相关联的名称。该子元素为必须元素。

  ②description:对给定资源的描述。这个子元素为可选元素。

  ③url-pattern:用来设置URL表达式,与这个URL表达式相匹配的URL地址指向的资源将受到保护。该子元素为至少有一个,为必须元素。

  ④http-method:用来表明哪些HTTP方法将受到限制,例如设置为GET那么所有的GET请求就将受到限制。该元素为可选元素。

  auth-constraint元素用于指定可以访问该资源用户角色集合。如果没有指定auth-constraint元素,就将安全约束应用于所有角色。它包含下面几个子元素:

  ①description:描述。该元素是可选元素。

  ②role-name:可以访问保护资源的用户角色。该元素可以有多个。

  user-data-constraint元素用来设置怎样保护在客户端和Web容器之间传递的数据。

  ①description: 描述。可选元素。

     ②transport-guarantee :该元素有以下几个值

     NONE,这意味着应用不需要传输保证。

    INTEGRAL,意味着服务器和客户端之间的数据必须以某种方式发送,而且在传送中数据不能被篡改。

     CONFIDENTIAL,这意味着传输的数据必须加密。

  配置完毕security-constraint元素的基本信息,大致为下面的格式:

< security - constraint >
     < web - resource - collection >
         < web - resource - name > Admin Arew </ web - resource - name >
         < url - pattern >* .action </ url - pattern >
     </ web - resource - collection >
     < auth - constraint >
         < role - name > myeclipseWeb </ role - name >
     </ auth - constraint >
</ security - constraint >

         这个security-constraint元素的效果为:只要与表达式"*.action"匹配的请求不是来自拥有"myeclipseWeb"权限的用户,Web容器就会阻断它。在这里还可以使用http-method元素,阻断特定方法的请求,因为没有使用会阻断所有方法提交的请求。

  设置完安全策略后,还需要设置让用户有机会提供证明,证明自己有权限访问这个受限资源的登陆方法。允许使用的登陆方法使用login-config元素设置,下面为login-config元素的语法定义:

<! ELEMENT login - config (auth - method ? , realm - name ? , form - login - config ? ) >
<! ELEMENT auth - method (#PCDATA) >
<! ELEMENT realm - name (#PCDATA) >
<! ELEMENT form - login - config (form - login - page, form - error - page) >

   login-config子元素的描述如下:

   auth-method指定用来验证用户身份的方法。它的值为下面的一个:BASIC、DIGEST、FORM或 CLIENT-CERT

   realm-name指定HTTP Basic验证中在标准登陆框中显示的一条提示。

  form-login-config元素是在元素值为"FORM"时使用的。它是指定基于表单的登录中应该使用的登录页面和出错页面。如果没有使用基于表单的验证,则忽略这些元素。这个元素的定义如下,其中form-login-page用于指定显示登录页面的资源路径, form-error-page则用于指定用户登录失败时显示出错页面的资源路径。

<! ELEMENT form - login - config (form - login - page, form - error - page) >
<! ELEMENT form - login - page (#PCDATA) >
<! ELEMENT form - error - page (#PCDATA) >

  设置完登陆方法后,还应该使用security-role元素,注册允许用来访问受保护资源所有角色。在该元素内部使用一个role-name子元素来注册一个角色。例如:

< security - role >
     < role - name > myeclipseWeb </ role - name >
</ security - role >

  注册了一个"myeclipseWeb"的角色。

 


  演示示例使用BASIC登陆方法验证用户身份

  我使用的Servlet容器是Tomcat,找到它的目录下conf目录中的tomcat-users.xml文件打开内容如下:

<? xml version = ' 1.0 '  encoding = ' utf-8 ' ?>< tomcat - users >
     < role rolename = " myeclipseWeb " />
     < role rolename = " myeclipseWebservices " />
     < user username = " webservices "  password = " webservices-pwd "  roles = " myeclipseWebservices " />
     < user username = " admin "  password = " admin-pwd "  roles = " myeclipseWeb,myeclipseWebservices " />
     < user username = " web "  password = " web-pwd "  roles = " myeclipseWeb " />
</ tomcat - users >

  我使用的IDE是myEclipse9.0,它配置好Tomcat下的tomcat-users.xml文件内容如上,我直接使用它了,你也可以添加自己的角色和用户。该文件定义了2个角色和3个用户,每一个用户都由自己的角色(或者说权限,可以有多重权限)。

  创建Web项目,找到web.xml,配置它,使它支持Struts 2并且启动Struts 2的安全策略

<? xml version = " 1.0 "  encoding = " UTF-8 " ?>
< web - app id = " WebApp_9 "  version = " 2.4 "
          xmlns = " http://java.sun.com/xml/ns/j2ee "
          xmlns:xsi = " http://www.w3.org/2001/XMLSchema-instance "
          xsi:schemaLocation = " http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd " >
     < display - name > Struts Blank </ display - name >
     < filter >
         < filter - name > struts2 </ filter - name >
         < filter - class > org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter </ filter - class >     
 </ filter >
     < filter - mapping >
         < filter - name > struts2 </ filter - name >
         < url - pattern > /* </url-pattern>    </filter-mapping>
     <welcome-file-list>
        <welcome-file>index.html</welcome-file>
    </welcome-file-list>
        <!--  配置应用程序需要保护的资源与什么角色才可以访问它   -->
    <security-constraint>
        <web-resource-collection>
            <web-resource-name>Admin Arew</web-resource-name>
            <url-pattern>*.action</url-pattern>
        </web-resource-collection>        <auth-constraint>
            <role-name>myeclipseWeb</role-name>
        </auth-constraint>    </security-constraint>
    <!-- 注册可以访问保护资源的角色  -->
    <security-role>
        <role-name>myeclipseWeb</role-name>    </security-role>
    <security-role>
        <role-name>myeclipseWebservices</role-name>
    </security-role>
        <!--  设置登录方法  -->
    <login-config>
        <auth-method>BASIC</auth-method>
        <realm-name>User Basic Authentication</realm-name>
    </login-config>
</web-app>

   创建接收一个字段信息的动作类:

public   class  SecureAction  extends  ActionSupport
{
     private   static   final   long  serialVersionUID  =   1961430702313132722L ;
         private  String username;
     public  String getUsername()
{
         return  username;
    }
     public   void  setUsername(String username)
{
         this .username  =  username;
    }
        @Override
     public  String execute()
    {
         return  SUCCESS;
    }
}

  创建struts.xml配置文件,声明动作

 
<? xml version = " 1.0 "  encoding = " UTF-8 "   ?>
<! DOCTYPE struts PUBLIC
     " -//Apache Software Foundation//DTD Struts Configuration 2.0//EN "
     " http://struts.apache.org/dtds/struts-2.0.dtd " >
< struts >
     < package  name = " securePackage "   extends = " struts-default " >
         < action name = " secure "   class = " struts2.action.SecureAction " >
             < result name = " success " >/ index.jsp </ result >
         </ action >
     </ package >
</ struts >

   创建输入页面input.jsp和结果页面index.jsp

  input.jsp:

< body >
     < s:form action = " secure " >          < s:textfield name = " username "  label = " Enter your name " >
</ s:textfield >
         < s:submit value = " submit " >
</ s:submit >
     </ s:form >
</ body >

 

  index.jsp

< body >
     < s:property value = " username " /> ,Welcome
 </ body >

 

  6.测试效果,在浏览器输入:http://localhost:8081/SecureTest/input.jsp,得到如下界面:

  输入"Tom",点击"submit"按钮,查看效果:

  看到了登陆框了吧,此时我们要访问的资源是一个受限资源所以要求权限验证,还记得我们的用户表吧,查看用户表输入用户信息查看结果:

  输入"webservices"与"webservices-pwd"的用户信息:

  提示了一个"403"错误,这是因为虽然用户信息正确,但是"webservices"用户的没有"myeclipseWeb"权限。

  这次输入一个不存在的用户信息:

  这次获得了一个"401"错误,这是登陆失败的提示结果,这里会因浏览器的不同而需要不同次数的失败登陆才会得到这个结果。

  接下来输入一个正确的用户,并且拥有"webservices"权限的用户信息:

  点击"确定",获得如下结果:

  可以看到,我们成功的访问了受保护的资源。若要传中文字,解决方案我已经在前面"配置Struts2"时介绍过了,需要修改Struts 2默认的编码方式还需要修改页面的编码方式,都改为"GBK".

转载地址:http://tech.it168.com/a2011/1206/1284/000001284341_all.shtml

huacai2010
关注
表单RSA加密实例+Struts2
03-28
表单RSA加密实例+Struts2.一份简单的RSA加密
struts2入门(搭建环境、配置、示例)
热门推荐
u012862311的博客
11-30 1万+
struts2入门示例
Struts2 编写安全策略(四十五)
路虽远行则将至,事虽难做则必成
03-27 597
编写安全策略 包含(1保护资源,2指定登录方法) ----保护资源 在web应用程序中保护资源 ,需要在web.xml文件中配置元素,该元素的语法定义如下: 上述语法定义的含义如下: display-name? :包含的是xml编辑器显示的名称.可选的 ,最多只有一个 web-resource-collection+:可选的 ,一个或多个 auth-constraint
struts2使用MD5给pwd加密
weixin_33738555的博客
11-03 318
直接给出实例: <%@ page language="java" pageEncoding="gb2312" %> <!-- 导入struts2标签库 --> <%@taglib uri="/struts-tags" prefix="s"%> <html> <head> <title...
struts2配置静态资源代码详解
08-29
Struts2框架是Java Web开发中常用的MVC框架,它提供了一种结构化的应用程序开发方式。在Struts2中,配置静态资源是为了确保像CSS、JavaScript、图片等非Action处理的资源能够正常被浏览器访问。这些资源通常不涉及...
Struts2的配置 struts.xml Action详解
08-29
Struts2 框架是一个基于 Java 语言的 Web 应用程序框架,它提供了一个灵活的架构,允许开发者快速构建基于 Web 的应用程序。在 Struts2 框架中,struts.xml 文件扮演着核心配置文件的角色,本文将对 struts.xml 文件...
详解Struts2中配置默认Action的方法
08-28
Struts2是一个基于MVC模式的web应用程序框架,它提供了一种灵活的方式来处理用户请求和响应。在Struts2中,Action是一个核心概念,它负责处理用户请求和执行业务逻辑。但是,在某些情况下,我们可能需要配置默认...
Struts2配置详解
10-10
### Struts2配置详解 #### 一、总览 在深入了解Struts2的配置细节之前,我们先来简要概述一下Struts2框架的核心特点及其配置文件的基本结构。Struts2是一个基于MVC(Model-View-Controller)设计模式的Java Web...
Java实训教程 Java软件开发实战 Java开发框架介绍 struts2_3_配置参数详解 共47页.pptx
最新发布
07-11
#### 三、Struts2配置详解 ##### 3.1 `<package>`标签 - **语法**: ```xml <package name="default" namespace="/" extends="struts-default"> <!-- action、result 和 interceptor 配置 --> ``` - **解释**:...
spring3+security3+struts2开源权限项目
05-09
完整的RBAC结构(数据库扩展形式),完整安全流程访问(依赖SPRING SECURITY的过滤链),多数据源切换(依赖SPRING),数据缓存功能(依赖EHCACHE)
struts2框架实现登录注册注销,后台验证+mysql密码加密
warmwine的博客
04-14 1609
struts2框架实现登录注册注销,后台验证+mysql密码加密any question or wanna codes, just contact with me by loooln@126.comIf u're walking down 2 the right path and u're willing 2 keep walking, eventually u'll make progress!...
Struts2 Action交互解密加密JSON参数
zhang6622056的专栏
03-21 3348
最近在工作用遇到了struts2与前台ajax交互json数据的写法。摒弃了之前的response.getWriter().write 方法。 用以下方法进行了相关的实现: 后台服务器端: JSONObject obj = JSONObject.fromObject(ResultOfMap); this.str = obj.toString(); //response.set
Struts2安全性学习笔记
qq_31099265的博客
08-23 335
Struts2安全性保证了服务器端指定资源不会轻易通过用户访问得到。 在tomcat中的conf文件中的tomcat-users.xml中添加角色,以及与角色相对应的用户及密码: 上面的这些角色例如"manager"可以通过部署描述文件来访问指定资源。元素security-constraint来保护相应资源,其子元素web-resource-collection
struts2 Security 注解式权限处理
TUYUAN126的专栏
08-29 191
原有的根据地址访问控制权限.有些麻烦.所以写了个struts2 的 注解权限处理..   对于页面根据权限是否显示某个按钮.可以通过struts2 访问静态方法去实现.这里就不写了.   代码如下:   @Security:   @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @...
Spring Security Struts2 整合安全
06-13 485
再次提醒各位struts2的用户注意这个超级安全漏洞
jackyrongvip的专栏
07-01 1720
最近发现 struts 2的这个严重安全漏洞,在http://www.iteye.com/topic/720209中已经有所表述,主要是OGNL的问题,摘录如下: exploit-db网站在7月14日爆出了一个Struts2的远程执行任意代码的漏洞。 漏洞名称:Struts2/XWork 相关介绍: http://www.exploit-db.com/exploits/14360/ http:
Java Web 的 Security Constraint 配置
「理」尚往来
05-30 495
原来知道 Java Web 应用的 DD 中的 配置,但是并没有真正配置过。昨天下午试着配了一下,发现问题还是有一些的。 说一下两个需要注意的问题: [list=1] [*] 的子元素 是可选的,如果没有 元素,这表示将禁止所有 HTTP 方法访问相应的资源。 [*] 子元素 需要和 相配合使用,但可以被单独使用。如果没有 子元素,这表明任何身份的用户都可以访问相应的资源...
web.xml中security-constraint配置测试
孤城幻夜
10-24 3834
https://blog.csdn.net/tc2015/article/details/51774454
Struts2包配置详解:继承与功能集成
Struts2框架中,包(package)是管理和组织Action的关键元素。一个包可以被看作是业务逻辑的一个集合...开发Struts2应用时,开发者需要确保对这些基本概念和技术的掌握,以有效利用Struts2的特性构建高效的应用程序
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值