acegi参考手册(v1.0.4)[译]-第四章 信道安全

最新推荐文章于 2020-06-03 16:44:26 发布
最新推荐文章于 2020-06-03 16:44:26 发布
阅读量117 收藏
点赞数
分类专栏: acegi 文章标签: Acegi Bean Security Web XML

第四章. 信道安全

4.1. 概述

Acegi Security不仅能满足你的认证和授权的请求,而且能够保证你的未认证的web请求也能拥有某些属性。这些属性可能包括使用特定的传输类型,在HttpSession设置特定的属性等等。Web请求的最普遍的需求是使用特定的传输协议,例如HTTPS。

在传输安全中的一个重要议题就是会话劫持(session hijacking)。Web容器通过一个jsessionid来引用一个HttpSession,这个jsessionid通过cookie 或者URL重写转向(URL rewriting)发送到到客户端。如果jsessionid是通过HTTP发送的,那么就存在被劫持以及在认证过程之后冒充被认证用户的可能。这是因 为大部分的web容器为特定的用户维护同一个会话标识符,即便是用户从HTTP 切换到 HTTPS页面。

如果对于你的特定应用来说,会话劫持(session hijacking)是一个很严重的风险,那么唯一的解决方法就是对每一个请求都使用HTTPS。这意味着jsessionid不会使用非安全信道传输。 你要保证你的web.xml中定义<welcome-file>,把它指向一个HTTPS位置,同时应用程序不把用户指向一个HTTP位置。 Acegi Security提供一个解决方案帮助你实现后者。</welcome-file>

4.2. 配置

启用Acegi Security的信道安全服务,需要在web.xml中增加如下行:

<filter></filter><filter-mapping><url-pattern></url-pattern>
xml 代码
 
<filter>      <filter-name>Acegi Channel Processing Filter</filter-name>      <filter-class>org.acegisecurity.util.FilterToBeanProxy</filter-class>      <init-param>          <param-name>targetClass</param-name>          <param-value>org.acegisecurity.securechannel.ChannelProcessingFilter</param-value>      </init-param>  </filter><filter-mapping>      <filter-name>Acegi Channel Processing Filter</filter-name>      <url-pattern>/*</url-pattern>  </filter-mapping>  

</filter-mapping>

和平时一样,你同样需要在application context中配置filter

<bean class="code-quote" id="&amp;lt;span"><bean class="code-quote" id="&amp;lt;span"><property class="code-quote" name="&amp;lt;span"><bean class="code-quote" id="&amp;lt;span"><bean class="code-quote" id="&amp;lt;span">
java 代码
 
<bean id="channelProcessingFilter" class="org.acegisecurity.securechannel.ChannelProcessingFilter">      <property name="channelDecisionManager"><ref bean="channelDecisionManager"/></property>      <property name="filterInvocationDefinitionSource">          <value>              CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON              \A/secure/.*\Z=REQUIRES_SECURE_CHANNEL              \A/acegilogin.jsp.*\Z=REQUIRES_SECURE_CHANNEL              \A/j_acegi_security_check.*\Z=REQUIRES_SECURE_CHANNEL              \A.*\Z=REQUIRES_INSECURE_CHANNEL          </value>      </property>  </bean>    <bean id="channelDecisionManager" class="org.acegisecurity.securechannel.ChannelDecisionManagerImpl">      <property name="channelProcessors">          <list>              <ref bean="secureChannelProcessor"/>          <ref bean="insecureChannelProcessor"/>      </list>      </property>  </bean>    <bean id="secureChannelProcessor" class="org.acegisecurity.securechannel.SecureChannelProcessor"/>    <bean id="insecureChannelProcessor" class="org.acegisecurity.securechannel.InsecureChannelProcessor"/>  

</bean></bean></property></bean></bean>

ChannelProcessingFilter和FilterSecurityInterceptor一样支持Apache Ant style paths。

ChannelProcessingFilter的工作方式是过滤所有的web请求,并将判断将适合的配置属性应用于其上。然后它代理到 ChannelDecisionManager。默认的实现类ChannelDecisionManagerImpl应该能够满足大多数需求。它就代理到 配置好的ChannelProcessor实例列表。ChannelProcessor会检视请求,如果它不满意请求(例如请求是发送自不正确的传输协 议)它将会重定向,抛出异常或者采取其他任何恰当的措施。

Acegi Security 包括ChannelProcessor两个实体类实现:SecureChannelProcessor 保证配置了REQUIRES_SECURE_CHANNEL 属性的请求都是从HTTPS发送过来的。而InsecureChannelProcessor 保证配置了REQUIRES_INSECURE_CHANNEL 属性的请求都是从HTTP发送过来的。如果没有使用请求的协议,这两个实现都会转到ChannelEntryPoint,而两个 ChannelEntryPoint 实现所作的就是简单的把请求相应按照HTTP 和 HTTPS重定向。

要注意重定向是绝对(例如http://www.company.com:8080/app/page) 而不是相对的(例如 /app/page)。在测试中发现Internet Explorer 6 Service Pack 1 有一个bug,因此如果在重定向的时候也改变使用的端口,它就不能正确响应。对应这个bug,在很多Acegi Security bean中都会使用的PortResolverImpl也使用绝对URL。请参阅PortResolverImpl的JavaDoc以获取更多信息。

你要注意使用为了在登录过程中保证用户名和密码的安全,要使用安全信道。如果你配合基于表单的登录使用 ChannelProcessingFilter,请记得一定要把你的登录页面设置为REQUIRES_SECURE_CHANNEL,并且 AuthenticationProcessingFilterEntryPoint.forceHttps属性设置为true。

4.3. 结论

一旦配置好了,使用安全信道是非常简单的。只要请求页面,不用管使用什么协议(HTTP 或 HTTPS)或什么端口(80, 8080, 443, 8443等)。显然你只要确定初始请求(获取通过在web.xml 中的<welcome-file> 或一个众所周知的主页URL),完成以后filter会执行你application context定义的重定向。</welcome-file>

你也可以在ChannelDecisionManagerImpl中增加自己的ChannelProcessor实现。例如,你可能通过"输入图片中的内容"检测到一个个人类用户,然后在HttpSession中设置一个属性。

要判断一个安全检查应该是或者ChannelProcessor或是 AccessDecisionVoter 记得前者是设计用来处理认证或者未认证的请求,而后者是设计用来处理已认证的请求。因此后者可以访问已认证的principal被授予的权限。

另外,ChannelProcessor检测到问题后一般是引发一个HTTP/HTTPS重定向这样他的请求可以被满足,而 AccessDecisionVoter将则会跑出一个AccessDeniedException异常(取决于支配的 AccessDecisionManager)。

iteye_11487
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
acegi-security-1.0.4.jar.zip
07-17
首先,`acegi-security-1.0.4.jar` 是Acegi Security框架的核心库文件,包含了所有必要的类和资源,用于在应用中实现安全功能。这个JAR文件通常会被添加到Java项目的类路径(classpath)中,以便在代码中引用和使用...
Acegi 参考手册(V1.0.4) 翻
05-12
Acegi 参考手册(V1.0.4) 翻 Acegi 参考手册(V1.0.4) 翻
spring security 认证通过后跳转原始路径
weixin_43931625的博客
06-03 2175
springsecurity认证通过后跳转原始路径 默认情况下,通过认证后会自动跳转到原始访问路径,也可通过设置跳转到原始访问路径 *********************** 示例 ...
Acegi为你的Spring应用加把锁!
03-21 1575
[简介]对于一个典型的Web应用,完善的认证和授权机制是必不可少的,在SpringFramework中,Juergen Hoeller提供的范例JPetStore给了一些这方面的介绍,但还远远不够,Acegi是一个专门为SpringFramework提供安全机制的 项目,全称为Acegi Security System for Spring,当前版本为0.5.1,就其目前提供的功能,应该可以满足绝
Spring Security学习笔记之ChannelProcessingFilter
py_xin的博客
10-09 3029
ChannelProcessingFilter通常是用来过滤哪些请求必须用https协议, 哪些请求必须用http协议, 哪些请求随便用哪个协议都行. 下面是自动配置SpringSecurity过滤器时的配置方式: ... 下面是手动配置SpringSecurity过滤器时的配置方式: <
11、oauth2细粒度资源保护
lixiang987654321的专栏
09-25 1305
  对于研发和测试人员来说、平时经常需要登录公司或者部门内部的各个平台进行相关的工作,比如:持续集成、工单系统、RMD(项目管理系统)等等。如果挨个平台输入用户名与密码进行登录,是非常繁琐的同时又有很大的安全隐患。为了解决这个问题,我们可以搭建统一的认证授权平台。这样只要用户登录了授权平台就可以免登陆进入授权平台接入的各个子系统。 所以单点登录解决了多系统中间切换的以下问题: A、免登陆跳转、...
SpringSecurity学习笔记之四:拦截请求
热门推荐
zhoucheng05_13的博客
03-05 5万+
在任何应用中,并不是所有请求都需要同等程度地保护起来。有些请求需要认证,有些则不需要。 对每个请求进行细粒度安全性控制的关键在于重载configure(HttpSecurity)方法。如下代码片段展现了重载的configure(HttpSecurity)方法,它为不同的URL路径有选择地应用安全性:@Override protected void configure(HttpSecurity ht
acegi参考手册(v1.0.4)[]-序言
lzt2008的专栏
09-06 501
 acegi参考手册(v1.0.4)[]-序言 序言 Acegi Security为基于J2EE的企业应用软件提供全面的安全解决方案。正如你在本手册中看到的那样,我们尝试为您提供有用的,高可配置的安全系统。 安 全是一个永无止境的目标,获取一个全面的,系统级的实现方式是至关重要的。在安全界,我们鼓励你采用“分层安全”,这样每个层都确保自身尽可能的安全,另 外的层提供另外的安全。每个层自身越“
acegi-security-1.0.4-sources.jar
03-01
官方版本,亲测可用
acegi-security-tiger-1.0.4-sources.jar
03-01
官方版本,亲测可用
acegi-security-resin-1.0.4-sources.jar
03-01
官方版本,亲测可用
Spring Security 的ChannelProcessingFilter 使用https请求
rabbit0708的专栏
05-08 2332
7.4.6  确保一个安全的通道 字母“s”是Internet上最重要的字母。任何一个在Web上冲浪超过五分钟的人都知道绝大多数Web页面均与以“http://”打头的URL相关联。那是因为绝大多数Web页面都通过HTTP协议被请求和发送。 对于绝大多数页面来说,HTTP完全够用,但是当有秘密信息在Internet上四处传输时就不够用了。通过HTTP发送的信息很容易被无法无天的黑客截获和读取,
在线图书商城平台,资源由网络分享整理,如有侵权请联系我
07-23
网上书店系统是一个基于Web的应用程序,它允许用户在互联网上浏览、选购图书,并进行在线交易。这个系统通常由几个核心组件组成,包括前端用户界面、后台数据库管理、购物车功能、支付接口以及订单处理模块。下面我们将详细探讨这些知识点。 1. ASP.NET:ASP.NET是由微软开发的一个用于构建动态网站、应用程序和Web服务的框架。它支持多种编程语言,如C#,提供了丰富的功能和工具,简化了Web应用的开发过程。在本系统中,ASP.NET可能用于创建网页交互逻辑,处理用户请求并返回响应。 2. C#:C#是一种面向对象的编程语言,常用于构建Windows桌面应用和Web应用。在这个网上书店系统中,C#可能被用来编写服务器端的业务逻辑代码,处理用户输入,访问数据库,以及与各种服务进行交互。 3. 数据库:数据库是存储网上书店系统所有数据的地方,包括书籍信息(如书名、作者、出版社、价格等)、用户信息、订单详情等。常见的数据库管理系统如MySQL、SQL Server或Oracle可能被用于存储和检索这些数据。开发者需要使用SQL语句来设计和操作数据库,确保数据的一致性和完整性。 4. 系统
html+js制作的网页计算机 可以实现加减乘除等运算
最新发布
07-23
大二下半学期的网页设计课程作业 html+js制作的网页计算机 可以实现加减乘除等运算
王江涛六级:完整齐全 课程+资料(百度网盘链接)
07-23
资料包含:讲义,规划导学,六级核心技巧讲解,水平测试解析,考前点睛,写预测,高频核心词训练营,等等。
springboot整合MinIO中间件,实现文件便捷管理
07-23
springboot整合MinIO中间件,实现文件便捷管理
运用蚁群算法的3D路径规划Matlab实现方案
07-23
三维路径规划指在已知三维地图中,规划出一条从出发点到目标点满足某项指标最优,并且避开了所有三维障碍物的三维最优路径。现有的路径规划算法中,大部分算法是在二维规划平面或准二维规划平面中进行路径规划。一般的三维路径规划算法具有计算过程复杂、信息存储量大、难以直接进行全局规划等问题。已有的三维路径规划算法主要包括A*算法、遗传算法、粒子群算法等,但是A*算法的计算量会随着维数的增加而急剧增加,遗传算法和粒子群算法只是准三维规划算法。 蚁群算法具有分布计算、群体智能等优势,在路径规划上具有很大潜力,在成功用于二维路径规划的同时也可用于三维路径规划,代码采用蚁群算法进行水下机器人三维路径规划。。内容来源于网络分享,如有侵权请联系我删除。另外如果没有积分的同学需要下载,请私信我。
"Spring-Security安全权限管理手册及架构设计
Spring Security是一个强大的安全权限管理框架,它不仅提供了全面的权限管理功能,还与Spring框架紧密结合,是Spring项目中不可或缺的一部分。本手册对Spring Security的架构设计和使用方法进行了详细的介绍,旨在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值