Java Web的安全验证机制

最新推荐文章于 2024-05-08 21:58:24 发布
最新推荐文章于 2024-05-08 21:58:24 发布
阅读量2.5k 收藏
点赞数
分类专栏: # Java随笔
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huayushuangfei/article/details/78406192
版权

security-constraint

部署描述符中的security-constraint元素允许不通过编程就可以限制对某个资源的访问。

<!ELEMENT security-constraint (display-name?,web-resource-collection+,auth-constraint?, user-data-constraint?)>
<!ELEMENT display-name (#PCDATA)>
<!ELEMENT web-resource-collection (web-resource-name, description?,url-pattern*, http-method*)>
<!ELEMENT auth-constraint (description?, role-name*)>
<!ELEMENT user-data-constraint (description?, transport-guarantee)>

(1) web-resource-collection元素
web-resource-collection元素标识需要限制访问的资源子集。在web-resource-collection元素中,可以定义URL模式和HTTP方法。如果不存在HTTP方法,就将安全约束应用于所有的方法。

<!ELEMENT web-resource-collection (web-resource-name, description?, url-pattern*, http-method*)>
<!ELEMENT web-resource-name (#PCDATA)>
<!ELEMENT description (#PCDATA)>
<!ELEMENT url-pattern (#PCDATA)>
<!ELEMENT http-method (#PCDATA)>

web-resource-name是与受保护资源相关联的名称。http-method元素可被赋予一个HTTP方法,比如GET和POST。

(2) auth-constraint元素
auth-constraint元素用于指定可以访问该资源集合的用户角色。如果没有指定auth-constraint元素,就将安全约束应用于所有角色。

<!ELEMENT auth-constraint (description?, role-name*)>
<!ELEMENT description (#PCDATA)>
<!ELEMENT role-name (#PCDATA)>

(3) user-data-constraint元素
user-data-constraint元素用来显示怎样保护在客户端和Web容器之间传递的数据。

<!ELEMENT user-data-constraint (description?, transport-guarantee)>
<!ELEMENT description (#PCDATA)>
<!ELEMENT transport-guarantee (#PCDATA)>

transport-guarantee元素必须具有如下的某个值:
    NONE,这意味着应用不需要传输保证
    INTEGRAL,意味着服务器和客户端之间的数据必须以某种方式发送,而且在传送中不能改变。
    CONFIDENTIAL,这意味着传输的数据必须是加密的数据。
在大多数情况下,安全套接字层(SSL)用于INTEGRAL或CONFIDENTIAL

security-role

security-role元素指定用于安全约束中的安全角色的声明。

<!ELEMENT security-role (description?, role-name)>
<!ELEMENT description (#PCDATA)>
<!ELEMENT role-name (#PCDATA)>

注意:security-constraint中的role-name和security-role是没有关系的
在tomcat中,有没有设定security-role是没有关系的
在其他商业应用服务器,如Weblogic, Jboss上,通常会设定security-role,以便在security-constraint中引这些security-role
参考链接:http://sz.szpxe.com/article/view/17038

login-config

login-config元素用来指定所使用的验证方法、领域名和表单验证机制所需的特性。

<!ELEMENT login-config (auth-method?, realm-name?, form-login-config?)>
<!ELEMENT auth-method (#PCDATA)>
<!ELEMENT realm-name (#PCDATA)>
<!ELEMENT form-login-config (form-login-page, form-error-page)>

login-config子元素的描述如下:
(1) auth-method指定验证方法。它的值为下面的一个:BASIC、DIGEST、FORM或 CLIENT-CERT
BASIC, HTTP规范,Base64,这种方式被认为是最不安全的认证,因为它没有提供强烈的加密措施

<web-app>   
    ......   
    <login-config>   
        <auth-method>BASIC</auth-method>   
    </login-config>   
    ......   
</web-app>

DIGEST:HTTP规范,MD5,它是种比较安全的认证,它在认证时将请求数据 通过MD5的加密方式进行认证

<web-app>   
    ......   
    <login-config>   
        <auth-method>DIGEST</auth-method>   
    </login-config>   
    ......   
</web-app>

CLIENT-CERT:J2EE规范,公共钥匙(PKC),这是一种基于客户端证书的认证方式,比较安全。但缺陷是在没有安全证书的客户端无法使用。

<web-app>   
    ......   
    <login-config>   
        <auth-method>CLIENT-CERT</auth-method>   
    </login-config>   
    ......   
</web-app>

FORM:J2EE规范,数据完整性非常弱,没有加密,允许有定制的登陆界面

<web-app> 
    ...... 
    <login-config> 
        <auth-method>FORM</auth-method> 
        <form-login-config> 
            <form-login-page>/login.html</form-login-page> 
            <form-error-page>/error.jsp</form-error-page> 
        </form-login-config> 
    </login-config> 
    ...... 
</web-app>

(2) realm-name指定HTTP Basic验证中使用的领域名。

(3) form-login-config指定基于表单的登录中应该使用的登录页面和出错页面。如果没有使用基于表单的验证,则忽略这些元素。这个元素的定义如下,其中form-login-page用于指定显示登录页面的资源路径, form-error-page则用于指定用户登录失败时显示出错页面的资源路径。这两个页面路径都必须以a/开始,并与应用目录相对应。

<!ELEMENT form-login-config (form-login-page, form-error-page)>
<!ELEMENT form-login-page (#PCDATA)>
<!ELEMENT form-error-page (#PCDATA)>

值得注意的是,FORM认证的表单中,一些元素的属性必须是固定的,如:
表单的action=“j_security_check”, 表单提交方式method=”post”,用户名输入框name=”j_username”,密码输入框name=”j_password”

<form action="j_security_check" method="post" >   
    <input name="j_username" type="text">   
    <input name="j_password" type="password">   
    <input type="submit" value="login" >   
</form>

案例:

<security-constraint>
    <display-name>Login Page</display-name>
    <web-resource-collection>
        <web-resource-name>Login Page</web-resource-name>
        <url-pattern>/login.jsp</url-pattern>
        <http-method>GET</http-method>
        <http-method>PUT</http-method>
        <http-method>POST</http-method>
        <http-method>DELETE</http-method>
    </web-resource-collection>
    <auth-constraint>
        <description>Everyone</description>
        <role-name>everyone</role-name>
    </auth-constraint>
    <user-data-constraint>
        <transport-guarantee>NONE</transport-guarantee>
    </user-data-constraint>
</security-constraint>

<security-role>
    <description>Everyone</description>
    <role-name>everyone</role-name>
</security-role>

<login-config>
    <auth-method>FORM</auth-method>
    <form-login-config>
        <form-login-page>/login.jsp</form-login-page>
        <form-error-page>/error.html</form-error-page>
    </form-login-config>
</login-config>

文章参考:
http://www.360doc.com/content/11/0926/15/1485725_151371486.shtml
http://blog.csdn.net/lisheng19870305/article/details/40819481
http://www.cnblogs.com/suxiaolei/archive/2011/11/02/2233601.html
http://czh.iteye.com/blog/740138
http://blog.csdn.net/yangjun2/article/details/8211492

多隆
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java工程师应该知道的Web安全
slw20010213的博客
12-03 3766
Java开发很大的一个应用场景就是Web,即使不是Web, 很多时候也是采用的和Web类似的处理方式。因此了解目前常见的Web安全问题并做防范是非常关键的。 Web安全问题,从大的方面可以分为: 客户端安全过浏览器进行攻击的安全问题。 服务端安全过发送请求到服务端进行攻击的安全问题。 常见的客户端安全问题有: 跨站脚本攻击 跨站点请求伪造 常见的服务端安全问题有: SQL注入 基于约束条件的SQL攻击 DDOS攻击 Ses
Java Web中的安全保障机制研究.pdf
04-05
本文主要阐述java Web应用中的安全保障机制,包括操作系统安全控制(OS Security)、身份验证(Authentication)、授权(Authorization)、完整性(Integrity)以及审计(Auditing)等。
Web安全之认证机制
java后端开发的博客,不仅仅是后端开发
07-13 2356
“认证”是很容易理解的一种安全手段,常见的认证方式就是用户名和密码。那么“认证”和“授权”是一回事吗?
全网超细--Java实现Token登录验证步骤实现
最新发布
欢迎来到快乐懒洋洋的博客
05-08 1810
2、后端核对用户名和密码成功后,将包含用户信息的数据作为JWT的Payload,将其与JWT Header分别进行Base64编码拼接后签名,形成一个JWT Token,形成的JWT Token就是一个如同lll.zzz.xxx的字符串。5、后端检查前端传过来的JWT Token,验证其有效性,比如检查签名是否正确、是否过期、token的接收方是否是自己等等。6、验证过后,后端解析出JWT Token中包含的用户信息,进行其他逻辑操作(一般是根据用户信息得到权限等),返回结果。
Java 网络安全
编程开发相关技术学习
12-09 1389
DES算法是一种对称密码体制加密算法,为密码体制中的对称密码体制,其 明文按64位进行分组,密钥长64位,密钥是以56位参与DES运算,且第8、16、24、32、40、48、56、64位是校验位,分组后的明文组和56位的密钥按位替代或交换的方法形成密文组的加密方法。:RSA算法是一种使用不同的加密密钥与解密密钥,是由已知加密密钥推导出解密密钥在计算上是不可行的密码体制,其原理是根据数论,寻求两个大素数比较简单,而将它们的乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。
Java安全开发注意事项
qq_42302684的博客
03-16 5171
互联网安全架构设计前言一、如何防御xss攻击?二、抓包如何防止篡改数据?三、对接口实现加密四、相关安全架构设计方案说明 前言 本文是对Java开发做安全的架构设计。 一、如何防御xss攻击? 攻击场景说明:在客户端发起请求时,如果URL的请求参数被篡改为网页脚本的话,而且后台没有对参数做处理的话,在当前页面中会受到恶意攻击。 如何解决:在后台编写一个过滤器,对后台接收到的请求参数做过滤处理。 代码说明: @Component @WebFilter public class XssFilter imple
身份验证协议和java安全框架
学以致用 知行合一
05-16 1688
在开发应用程序时,安全性是一个主要问题。在 JAVA 中,有多个安全框架旨在使保护应用程序的过程更快、更容易、更成功。下面是一些常用于 JAVA 程序、网站和 Web 应用程序的用户身份验证和授权的安全框架。
Java实现Token登录验证(基于JWT的token认证实现)
shuux666的博客
03-12 2万+
文章目录 一、JWT是什么? 二、使用步骤 1.项目结构 2.相关依赖 3.数据库 4.相关代码 三、测试结果 一、JWT是什么? 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 1、客户端使用用户名和密码请求登录 2、服务端收到请求,验证用户名和密码 3、验证成功后,服务端会签发一个token,再把这个token返回给客户端 4、客户端收到token后可以把它存储起来,比如放到cookie中 5、客户端每次向服务端请求资源时需要携带服务端签发的token,可以在co
java安全入门(一)
shayebudon的博客
01-23 5163
编译型语言和解释性语言 大家之前都或多或少接触过python与php,刚开始可能接触过一些C,但是其实这几种是不同的语言 有的编程语言要求必须提前将所有源代码一次性转换成二进制指令,也就是生成一个可执行程序(Windows 下的 .exe),比如C语言、C++、Golang、Pascal(Delphi)、汇编等,这种编程语言称为编译型语言,使用的转换工具称为编译器 有的编程语言可以一边执行一边转换,需要哪些源代码就转换哪些源代码,不会生成可执行程序,比如 Python、JavaScript、PHP、She
web网站的安全控制
migo_的专栏
02-25 1070
加密机制:加密是保护数据在传输和存储过程中安全性的核心技术。过对数据进行加密,可以确保只有拥有解密密钥的授权用户可以访问和读取数据。常见的加密算法包括对称加密(如AES)和非对称加密(如RSA)。数字签名机制:数字签名用于验证数据的完整性和来源。过使用私钥对数据进行签名,接收方可以使用公钥验证签名的有效性,从而确保数据在传输过程中没有被篡改,并且确实来自声称的发送方。身份认证机制:身份认证是确认用户或实体身份的过程。
Web常见安全漏洞
cwb_真水无香
04-15 8801
1 越权漏洞 越权指主体逾越权限访问资源。比如用户张三取消了用户李四的外卖订单、商户营业员查看了财务信息(假定角色营业员没有财务权限)。 越权的分类: 水平越权:如上述张三取消李四外卖订单。数据越权需从数据层面考虑,映射到关系数据库中的表,应该需要增加行控制(归属校验),即表中该订单记录关联的用户是张三时,张三才有权限。 垂直越权:如上述营业员查看财务信息。功能越权需从功能层面考虑,往往需要从接口层面限制,比如在Java程序种接口方法添加角色校验注解,程序处理注解检查当前登录用户是否具有相应的权限。 1.1
java web安全培训一期
12-19
在设计身份验证机制时,必须考虑防止重放攻击、会话劫持和凭证填充等风险。 综上所述,"java web安全培训一期"涵盖了构建安全Web应用的多个关键点。过学习这些内容,开发者可以更好地理解和实施最佳实践,提升...
Java安全权限控制机制研究综述.pdf
04-11
Java安全权限控制机制可以应用于各种Java应用程序中,例如Web应用程序、移动应用程序、桌面应用程序等。 Java安全权限控制机制Java安全体制中的一种重要机制过对Java安全管理器、权限类、安全策略文件、自...
JAAS灵活的Java安全机制.docx
09-04
与早期Java安全框架侧重于验证代码来源和作者不同,JAAS的核心在于验证运行代码的用户及其权限,以保护系统免受潜在的恶意用户攻击。 JAAS允许开发者集成多种标准的安全机制,如Solaris NIS、Windows NT、LDAP和...
Java Web应用程序安全技术研究.pdf
04-05
Java Web应用程序安全技术的研究主要关注的是在网络技术和信息技术快速发展背景下,如何确保基于JavaWeb应用程序能够安全运行。Java Web技术在电子商务、电子政务、在线教育等多个领域广泛应用,但随之而来的是日...
Java生成包含大写字母,小写字母以及数字的无重复随机密码
热门推荐
Java技术
11-14 17万+
参考链接:http://www.cnblogs.com/dongliyang/archive/2013/04/01/2994554.html代码如下:import java.util.Random;public final class PasswordUtils { private static Random random; private static long seed;
Restful接口中,对象、Map以及Date类型的传参方式
Java技术
11-03 1万+
代码如下:import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.RequestBody; import org.springframework.web.bind.annotation.RequestMapping; import org.springframew
Java线程之释放锁,释放资源,释放CPU
Java技术
06-17 1万+
多线程中的wait与sleep到底谁释放了锁首先,多线程中会使用到两个延迟的函数,wait和sleep。 wait是Object类中的方法,而sleep是Thread类中的方法。sleep是Thread类中的静态方法。无论是在a线程中调用b的sleep方法,还是b线程中调用a的sleep方法,谁调用,谁睡觉。最主要的是sleep方法调用之后,并没有释放锁。使得线程仍然可以同步控制。sleep不会让
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值