acegi参考手册(v1.0.4)[译]-第四章 信道安全

最新推荐文章于 2020-06-03 16:44:26 发布
最新推荐文章于 2020-06-03 16:44:26 发布
阅读量115 收藏
点赞数
分类专栏: acegi 文章标签: Acegi Bean Security Web XML

第四章. 信道安全

4.1. 概述

Acegi Security不仅能满足你的认证和授权的请求,而且能够保证你的未认证的web请求也能拥有某些属性。这些属性可能包括使用特定的传输类型,在HttpSession设置特定的属性等等。Web请求的最普遍的需求是使用特定的传输协议,例如HTTPS。

在传输安全中的一个重要议题就是会话劫持(session hijacking)。Web容器通过一个jsessionid来引用一个HttpSession,这个jsessionid通过cookie 或者URL重写转向(URL rewriting)发送到到客户端。如果jsessionid是通过HTTP发送的,那么就存在被劫持以及在认证过程之后冒充被认证用户的可能。这是因 为大部分的web容器为特定的用户维护同一个会话标识符,即便是用户从HTTP 切换到 HTTPS页面。

如果对于你的特定应用来说,会话劫持(session hijacking)是一个很严重的风险,那么唯一的解决方法就是对每一个请求都使用HTTPS。这意味着jsessionid不会使用非安全信道传输。 你要保证你的web.xml中定义<welcome-file>,把它指向一个HTTPS位置,同时应用程序不把用户指向一个HTTP位置。 Acegi Security提供一个解决方案帮助你实现后者。</welcome-file>

4.2. 配置

启用Acegi Security的信道安全服务,需要在web.xml中增加如下行:

<filter></filter><filter-mapping><url-pattern></url-pattern>
xml 代码
 
<filter>      <filter-name>Acegi Channel Processing Filter</filter-name>      <filter-class>org.acegisecurity.util.FilterToBeanProxy</filter-class>      <init-param>          <param-name>targetClass</param-name>          <param-value>org.acegisecurity.securechannel.ChannelProcessingFilter</param-value>      </init-param>  </filter><filter-mapping>      <filter-name>Acegi Channel Processing Filter</filter-name>      <url-pattern>/*</url-pattern>  </filter-mapping>  

</filter-mapping>

和平时一样,你同样需要在application context中配置filter

<bean class="code-quote" id="&amp;lt;span"><bean class="code-quote" id="&amp;lt;span"><property class="code-quote" name="&amp;lt;span"><bean class="code-quote" id="&amp;lt;span"><bean class="code-quote" id="&amp;lt;span">
java 代码
 
<bean id="channelProcessingFilter" class="org.acegisecurity.securechannel.ChannelProcessingFilter">      <property name="channelDecisionManager"><ref bean="channelDecisionManager"/></property>      <property name="filterInvocationDefinitionSource">          <value>              CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON              \A/secure/.*\Z=REQUIRES_SECURE_CHANNEL              \A/acegilogin.jsp.*\Z=REQUIRES_SECURE_CHANNEL              \A/j_acegi_security_check.*\Z=REQUIRES_SECURE_CHANNEL              \A.*\Z=REQUIRES_INSECURE_CHANNEL          </value>      </property>  </bean>    <bean id="channelDecisionManager" class="org.acegisecurity.securechannel.ChannelDecisionManagerImpl">      <property name="channelProcessors">          <list>              <ref bean="secureChannelProcessor"/>          <ref bean="insecureChannelProcessor"/>      </list>      </property>  </bean>    <bean id="secureChannelProcessor" class="org.acegisecurity.securechannel.SecureChannelProcessor"/>    <bean id="insecureChannelProcessor" class="org.acegisecurity.securechannel.InsecureChannelProcessor"/>  

</bean></bean></property></bean></bean>

ChannelProcessingFilter和FilterSecurityInterceptor一样支持Apache Ant style paths。

ChannelProcessingFilter的工作方式是过滤所有的web请求,并将判断将适合的配置属性应用于其上。然后它代理到 ChannelDecisionManager。默认的实现类ChannelDecisionManagerImpl应该能够满足大多数需求。它就代理到 配置好的ChannelProcessor实例列表。ChannelProcessor会检视请求,如果它不满意请求(例如请求是发送自不正确的传输协 议)它将会重定向,抛出异常或者采取其他任何恰当的措施。

Acegi Security 包括ChannelProcessor两个实体类实现:SecureChannelProcessor 保证配置了REQUIRES_SECURE_CHANNEL 属性的请求都是从HTTPS发送过来的。而InsecureChannelProcessor 保证配置了REQUIRES_INSECURE_CHANNEL 属性的请求都是从HTTP发送过来的。如果没有使用请求的协议,这两个实现都会转到ChannelEntryPoint,而两个 ChannelEntryPoint 实现所作的就是简单的把请求相应按照HTTP 和 HTTPS重定向。

要注意重定向是绝对(例如http://www.company.com:8080/app/page) 而不是相对的(例如 /app/page)。在测试中发现Internet Explorer 6 Service Pack 1 有一个bug,因此如果在重定向的时候也改变使用的端口,它就不能正确响应。对应这个bug,在很多Acegi Security bean中都会使用的PortResolverImpl也使用绝对URL。请参阅PortResolverImpl的JavaDoc以获取更多信息。

你要注意使用为了在登录过程中保证用户名和密码的安全,要使用安全信道。如果你配合基于表单的登录使用 ChannelProcessingFilter,请记得一定要把你的登录页面设置为REQUIRES_SECURE_CHANNEL,并且 AuthenticationProcessingFilterEntryPoint.forceHttps属性设置为true。

4.3. 结论

一旦配置好了,使用安全信道是非常简单的。只要请求页面,不用管使用什么协议(HTTP 或 HTTPS)或什么端口(80, 8080, 443, 8443等)。显然你只要确定初始请求(获取通过在web.xml 中的<welcome-file> 或一个众所周知的主页URL),完成以后filter会执行你application context定义的重定向。</welcome-file>

你也可以在ChannelDecisionManagerImpl中增加自己的ChannelProcessor实现。例如,你可能通过"输入图片中的内容"检测到一个个人类用户,然后在HttpSession中设置一个属性。

要判断一个安全检查应该是或者ChannelProcessor或是 AccessDecisionVoter 记得前者是设计用来处理认证或者未认证的请求,而后者是设计用来处理已认证的请求。因此后者可以访问已认证的principal被授予的权限。

另外,ChannelProcessor检测到问题后一般是引发一个HTTP/HTTPS重定向这样他的请求可以被满足,而 AccessDecisionVoter将则会跑出一个AccessDeniedException异常(取决于支配的 AccessDecisionManager)。

iteye_11487
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Acegi 参考手册(V1.0.4) 翻
05-12
Acegi 参考手册(V1.0.4) 翻 Acegi 参考手册(V1.0.4) 翻
acegi-security-1.0.4.jar.zip
07-17
标签:acegi-security-1.0.4.jar.zip,acegi,security,1.0.4,jar.zip包下载,依赖包
spring security 认证通过后跳转原始路径
weixin_43931625的博客
06-03 2143
springsecurity认证通过后跳转原始路径 默认情况下,通过认证后会自动跳转到原始访问路径,也可通过设置跳转到原始访问路径 *********************** 示例 ...
Acegi为你的Spring应用加把锁!
03-21 1575
[简介]对于一个典型的Web应用,完善的认证和授权机制是必不可少的,在SpringFramework中,Juergen Hoeller提供的范例JPetStore给了一些这方面的介绍,但还远远不够,Acegi是一个专门为SpringFramework提供安全机制的 项目,全称为Acegi Security System for Spring,当前版本为0.5.1,就其目前提供的功能,应该可以满足绝
Spring Security学习笔记之ChannelProcessingFilter
py_xin的博客
10-09 3024
ChannelProcessingFilter通常是用来过滤哪些请求必须用https协议, 哪些请求必须用http协议, 哪些请求随便用哪个协议都行. 下面是自动配置SpringSecurity过滤器时的配置方式: ... 下面是手动配置SpringSecurity过滤器时的配置方式: <
11、oauth2细粒度资源保护
lixiang987654321的专栏
09-25 1301
  对于研发和测试人员来说、平时经常需要登录公司或者部门内部的各个平台进行相关的工作,比如:持续集成、工单系统、RMD(项目管理系统)等等。如果挨个平台输入用户名与密码进行登录,是非常繁琐的同时又有很大的安全隐患。为了解决这个问题,我们可以搭建统一的认证授权平台。这样只要用户登录了授权平台就可以免登陆进入授权平台接入的各个子系统。 所以单点登录解决了多系统中间切换的以下问题: A、免登陆跳转、...
SpringSecurity学习笔记之四:拦截请求
热门推荐
zhoucheng05_13的博客
03-05 5万+
在任何应用中,并不是所有请求都需要同等程度地保护起来。有些请求需要认证,有些则不需要。 对每个请求进行细粒度安全性控制的关键在于重载configure(HttpSecurity)方法。如下代码片段展现了重载的configure(HttpSecurity)方法,它为不同的URL路径有选择地应用安全性:@Override protected void configure(HttpSecurity ht
acegi参考手册(v1.0.4)[]-序言
lzt2008的专栏
09-06 494
 acegi参考手册(v1.0.4)[]-序言 序言 Acegi Security为基于J2EE的企业应用软件提供全面的安全解决方案。正如你在本手册中看到的那样,我们尝试为您提供有用的,高可配置的安全系统。 安 全是一个永无止境的目标,获取一个全面的,系统级的实现方式是至关重要的。在安全界,我们鼓励你采用“分层安全”,这样每个层都确保自身尽可能的安全,另 外的层提供另外的安全。每个层自身越“
acegi-security-1.0.4-sources.jar
03-01
官方版本,亲测可用
acegi-security-tiger-1.0.4-sources.jar
03-01
官方版本,亲测可用
acegi-security-resin-1.0.4-sources.jar
03-01
官方版本,亲测可用
Spring Security 的ChannelProcessingFilter 使用https请求
rabbit0708的专栏
05-08 2325
7.4.6  确保一个安全的通道 字母“s”是Internet上最重要的字母。任何一个在Web上冲浪超过五分钟的人都知道绝大多数Web页面均与以“http://”打头的URL相关联。那是因为绝大多数Web页面都通过HTTP协议被请求和发送。 对于绝大多数页面来说,HTTP完全够用,但是当有秘密信息在Internet上四处传输时就不够用了。通过HTTP发送的信息很容易被无法无天的黑客截获和读取,
一个基于C语言的简易学生管理系统.zip
06-15
C语言是一种广泛使用的编程语言,它具有高效、灵活、可移植性强等特点,被广泛应用于操作系统、嵌入式系统、数据库、编器等领域的开发。C语言的基本语法包括变量、数据类型、运算符、控制结构(如if语句、循环语句等)、函数、指针等。在编写C程序时,需要注意变量的声明和定义、指针的使用、内存的分配与释放等问题。C语言中常用的数据结构包括: 1. 数组:一种存储同类型数据的结构,可以进行索引访问和修改。 2. 链表:一种存储不同类型数据的结构,每个节点包含数据和指向下一个节点的指针。 3. 栈:一种后进先出(LIFO)的数据结构,可以通过压入(push)和弹出(pop)操作进行数据的存储和取出。 4. 队列:一种先进先出(FIFO)的数据结构,可以通过入队(enqueue)和出队(dequeue)操作进行数据的存储和取出。 5. 树:一种存储具有父子关系的数据结构,可以通过中序遍历、前序遍历和后序遍历等方式进行数据的访问和修改。 6. 图:一种存储具有节点和边关系的数据结构,可以通过广度优先搜索、深度优先搜索等方式进行数据的访问和修改。 这些数据结构在C语言中都有相应的实现方式,可以应用于各种不同的场景。C语言中的各种数据结构都有其优缺点,下面列举一些常见的数据结构的优缺点: 数组: 优点:访问和修改元素的速度非常快,适用于需要频繁读取和修改数据的场合。 缺点:数组的长度是固定的,不适合存储大小不固定的动态数据,另外数组在内存中是连续分配的,当数组较大时可能会导致内存碎片化。 链表: 优点:可以方便地插入和删除元素,适用于需要频繁插入和删除数据的场合。 缺点:访问和修改元素的速度相对较慢,因为需要遍历链表找到指定的节点。 栈: 优点:后进先出(LIFO)的特性使得栈在处理递归和括号匹配等问题时非常方便。 缺点:栈的空间有限,当数据量较大时可能会导致栈溢出。 队列: 优点:先进先出(FIFO)的特性使得
数通系列ospf学习思维导图
06-15
数通系列ospf学习思维导图
基于UDP的聊天软件,纯C语言编写(使用时记得修改IP地址).zip
最新发布
06-15
C语言是一种广泛使用的编程语言,它具有高效、灵活、可移植性强等特点,被广泛应用于操作系统、嵌入式系统、数据库、编器等领域的开发。C语言的基本语法包括变量、数据类型、运算符、控制结构(如if语句、循环语句等)、函数、指针等。下面详细介绍C语言的基本概念和语法。 1. 变量和数据类型 在C语言中,变量用于存储数据,数据类型用于定义变量的类型和范围。C语言支持多种数据类型,包括基本数据类型(如int、float、char等)和复合数据类型(如结构体、联合等)。 2. 运算符 C语言中常用的运算符包括算术运算符(如+、、、/等)、关系运算符(如==、!=、、=、<、<=等)、逻辑运算符(如&&、||、!等)。此外,还有位运算符(如&、|、^等)和指针运算符(如、等)。 3. 控制结构 C语言中常用的控制结构包括if语句、循环语句(如for、while等)和switch语句。通过这些控制结构,可以实现程序的分支、循环和多路选择等功能。 4. 函数 函数是C语言中用于封装代码的单元,可以实现代码的复用和模块化。C语言中定义函数使用关键字“void”或返回值类型(如int、float等),并通过“{”和“}”括起来的代码块来实现函数的功能。 5. 指针 指针是C语言中用于存储变量地址的变量。通过指针,可以实现对内存的间接访问和修改。C语言中定义指针使用星号()符号,指向数组、字符串和结构体等数据结构时,还需要注意数组名和字符串常量的特殊性质。 6. 数组和字符串 数组是C语言中用于存储同类型数据的结构,可以通过索引访问和修改数组中的元素。字符串是C语言中用于存储文本数据的特殊类型,通常以字符串常量的形式出现,用双引号("...")括起来,末尾自动添加'\0'字符。 7. 结构体和联合 结构体和联合是C语言中用于存储不同类型数据的复合数据类型。结构体由多个成员组成,每个成员可以是不同的数据类型;联合由多个变量组成,它们共用同一块内存空间。通过结构体和联合,可以实现数据的封装和抽象。 8. 文件操作 C语言中通过文件操作函数(如fopen、fclose、fread、fwrite等)实现对文件的读写操作。文件操作函数通常返回文件指针,用于表示打开的文件。通过文件指针,可以进行文件的定位、读写等操作。 总之,C语言是一种功能强大、灵活高效的编程语言,广泛应用于各种领域。掌握C语言的基本语法和数据结构,可以为编程学习和实践打下坚实的基础。
VBA复制指定路径文件待粘贴【可用于自动发微信文件】.xlsm
06-15
VBA复制指定路径文件待粘贴【可用于自动发微信文件】.xlsm 有时候我们需要复制指定路径的文件,然后到指定的位置或软件进行粘贴 所有我们可根据指定的路径文件进行复制,待粘贴
基于QT、ARM开发板、Linux系统并对接百度AI的停车管理系统.zip
06-15
该资源内项目源码是个人的课程设计、毕业设计,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! ## 项目备注 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 该资源内项目源码是个人的课程设计,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! ## 项目备注 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。
Exception starting filter [Acegi Filter Chain Proxy]
05-18
4. 配置文件中的某些标签或属性设置不正确,如access-denied-page或authentication-failure-url。 你需要仔细检查你的Spring Security配置文件,排除以上可能的原因,并确保配置正确。如果问题仍然存在,请提供更...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值