整合Acegi使用HTTPS安全通道(SSL)

最新推荐文章于 2022-03-01 22:23:30 发布
最新推荐文章于 2022-03-01 22:23:30 发布
阅读量293 收藏
点赞数
分类专栏: J2EE 文章标签: Acegi Tomcat XML Ant Spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_4929/article/details/81720944
版权
首先在你使用application server上激活SSL,让项目能使用HTTPS。

下面以我使用的tomcat为例(其实网上也很多了,再啰嗦一遍方法):

1、生成及导入证书。

生成keystore

keytool -genkey -alias projectName -keypass changeit -storepass changeit -keyalg RSA -validity 3600 -dname "CN=127.0.0.1, OU=HOME, O=HOME" -keystore my.keystore

导出证书

keytool -export -alias projectName -file foo.cer -keystore my.keystore

导入证书到cacerts(注意该cacerts确保是你application server所使用的JDK的)

keytool -import -alias projectName -keystore cacerts -file foo.cer -trustcacerts

2、配置tomcat的 server.xml文件。
大概找到下面注释的一行。 


    <!-- Define a SSL HTTP/1.1 Connector on port 8443
         This connector uses the JSSE configuration, when using APR, the 
         connector should be using the OpenSSL style configuration
         described in the APR documentation -->


把这行下面注释的代码去掉,如下: 


    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
	           enableLookups="false" disableUploadTimeout="true" keystorePass="changeit"
               maxThreads="150" scheme="https" secure="true"  minSpareThreads="25"
               clientAuth="false" sslProtocol="TLS" />



留意changeit字段,需要跟之前生成证书时输入的密码一致。

3、重启tomcat。

测试 https://localhost:8443 是否访问正常。


[size=medium][b]让项目同时使用http和https[/b][/size]

完成以上操作后,项目已经可以使用SSL来访问了,但也众所周知SSL之所以安全性比较高因为使用安全通道加密的缘故。所以原来http的一个请求和响应在https里面都变成几个,资源消耗大很多。所以我们有时候仅仅是为了一些资源使用https足以,并不是全部。

如果你是使用Acegi(spring security)的话,集成将非常简单。

具体配置如下:

打开acegi的配置文件。

1、找到exceptionFilter一段,具体代码如下: 


	<!-- 处理登录异常或权限异常的Filter -->
	<bean id="exceptionFilter" class="org.acegisecurity.ui.ExceptionTranslationFilter">
		<!-- 出现AuthenticationException时的登录入口 -->
		<property name="authenticationEntryPoint">
			<bean
				class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilterEntryPoint">
				<property name="loginFormUrl"
					value="${exceptionFilter.AuthException.loginFormUrl}" />
				<!-- in order to enable the https -->
				<property name="forceHttps" value="true" />
			</bean>
		</property>
		<!-- 出现AccessDeniedException时的Handler -->
		<property name="accessDeniedHandler">
			<bean class="org.acegisecurity.ui.AccessDeniedHandlerImpl">
				<!-- 指定错误页面	-->
			</bean>
		</property>
	</bean>


留意把forceHttps的值设置为true。

2、配置channelDecisionManager

添加如下代码: 

	<bean id="channelDecisionManager"
		class="org.acegisecurity.securechannel.ChannelDecisionManagerImpl">
		<property name="channelProcessors">
			<list>
				<ref bean="secureChannelProcessor" />
				<ref bean="insecureChannelProcessor" />
			</list>
		</property>
	</bean>

	<bean id="secureChannelProcessor" class="org.acegisecurity.securechannel.SecureChannelProcessor" />
	<bean id="insecureChannelProcessor"
		class="org.acegisecurity.securechannel.InsecureChannelProcessor" />


3、配置ChannelProcessingFilter,让我们仅对需要的SSL的资源使用https。 


	<bean id="channelProcessingFilter" class="org.acegisecurity.securechannel.ChannelProcessingFilter">
		<property name="channelDecisionManager" ref="channelDecisionManager" />
		<property name="filterInvocationDefinitionSource">
			<value>
				PATTERN_TYPE_APACHE_ANT
				/admin/**=REQUIRES_SECURE_CHANNEL
				/**=REQUIRES_INSECURE_CHANNEL   
            </value>
		</property>
	</bean>

(例子中为访问/admin/**资源的的时候必须使用https,若用http访问的时候也会直接转到https通道。其他资源可使用https也可以使用http。)

顾名思义:
REQUIRES_SECURE_CHANNEL 为使用https
REQUIRES_INSECURE_CHANNEL 为使用http

/** 注意请务必放在最后

另:请注意项目中的url地址,因为如果在https链接当中访问http资源的话,某些时候会出现问题,例如获取session和request之类的时候,实质上是从https进行了Redirect,而且还是那比较难查错。


使用acegi的话,应该配置过FilterSecurityInterceptor,相信格式也很熟悉了吧。

4、勿忘在FilterChainProxy添加新的filter 
	<bean id="filterChainProxy" class="org.acegisecurity.util.FilterChainProxy">
		<property name="filterInvocationDefinitionSource">
			<value>
				CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
				PATTERN_TYPE_APACHE_ANT
				/**=sessionIntegrationFilter,logoutFilter,authenticationFilter,rememberMeFilter,channelProcessingFilter,exceptionFilter,securityInterceptor
			</value>
		</property>
	</bean>


注意添加上channelProcessingFilter即可。

至此,已经可以享受Acegi在安全性上给我们带来的便利以及乐趣。

但实话说,有些情况下使用Acegi却带来很多的麻烦,或者是必须深入了解,不然扩展性和易用性还是有限。
iteye_4929
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全通道实用工具nltest.exe的使用简介(上)
spidertan的专栏
12-19 3233
工具:       此工具在Microsoft Windows NT 4.0资源工具包中可以找到,另外如果你有Windows 2003安装盘的话,在安装盘的Support Tools目录下有安装Support Tools的一个工具包安装程序,你安装此工具包后同样也有nltest.exe工具。       简介:       nltest.exe是一个非常强大的命令行工具,它能用来在Wi
acegi安全策略与CAS整合
07-15
AceGI安全策略与CAS(Central Authentication Service)整合是企业级应用中常见的安全解决方案,它能够为Web应用程序提供统一的身份验证和授权服务。本文档旨在详细阐述这一整合过程,包括配置步骤、所需资源以及...
https安全通道配置手册.docx
05-18
https安全通道配置手册.docx
安全的网络通道
freezgw1985的专栏
01-03 3944
一、网络准入   1. 二层准入     二层准入就是用户在获取三层IP地址之前必须通过的认证。当用户在接入网络之初,需要同网络侧通过二层连接进行认证数据 交互,只有成功通过认证才能向DHCP服务器中申请IP地址,从而收发数据。    IETF首先定义了EAP(Extensible Authentication Protocol), 进行数据链路层进行验证,然后IETE给出了在以太网上运
HTTPS协议原理(通道安全)
weixin_56892092的博客
03-01 127
1.通道安全 1.参数安全 除了上诉两个问题,其实还有更严重的问的,中间人攻击 2.中间人攻击 3.CA认证 CA本身就是一个非对称加密,CA私钥在服务端生成好,CA的公钥由第三方CA机构托管,内置在浏览器,或者给浏览器提供一个下载的链接 主流生成CA的有两种方式: OpenSSL和JKS https ca的公钥私钥: 公钥要存在浏览器 私钥存储在服务器 公私钥不传递 避免第三方拦截请求,篡改伪造一个公钥私钥向浏...
安全通道以及防止跨站请求伪造
qq_40800349的博客
04-08 386
一.HTTP提交是一个风险极大的事,所以用HTTPS加密运输可以保护用户信息的安全。在configre的HttpSecurity对象提供了一个方法,requiresChannel()方法,借助这个方法,可以为各种url提供要求的通道。如果想用https通道.requiresChannel .antMatchers("/").requiresSecure()如果还是想用http传送.require...
Acegi安全系统介绍(一)
02-21
AcegiSpringFramework下最成熟的安全系统,它提供了强大灵活的企业级安全服务,如:完善的认证和授权机制,Http资源访问控制,Method调用访问控制,AccessControlList(ACL)基于对象实例的访问控制,...
敏捷Acegi、CAS构建安全的Java系统
07-22
无论是Java EE安全性编程模型的背景和基础知识,还是Acegi、CAS本身,还是有关Acegi、CAS的各种高级使用技巧和最佳实践,本书都详尽、系统地给出了阐述。全书共分为4部分:第1部分介绍Web应用安全,主要围绕Java EE...
敏捷Acegi、CAS.构建安全的Java系统
07-22
资源名称:敏捷Acegi、CAS.构建安全的Java系统资源截图: 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
go 安全通道(缓存器)缓存池 io.Reader error类
super_ufo的笔记
04-12 469
向一个已经关闭的通道发送值和关闭一个已经关闭的通道, 都会引发运行时候的恐慌,缓冲器就是解决这个问题诞生的。 Put 方法先检查缓冲器实例是否关闭,并且保证只有在检查结果是否的时候 进行存入。,在Close 方法中仅在当前缓冲器实例未关闭的情况下 进行关闭操作 package buffer import ( "sync" "sync/atomic" ) import ( "fmt"...
ClassZZ的安全通道通信
TsingHua2008的专栏
09-19 339
我们描述了如果Alice可以将UTXO的Merkle分支发送给Bob,那么Bob就可以自己建立Alice的反动作输入的有效性,直到一定的块高度。我们略过了如何建立这种联系。由于Merkle分支可能相当大,相对于跨操作数据,使用gossip协议广播它可能会产生不必要的拥塞。因此,在轻节点之间建立安全通信通道的能力是胶囊协议成功的关键。 这个想法是基于[2], (1)Alice广播她的通信参数,用...
WCF 异常:无法打开安全通道,因为与远程终结点的安全协商已失败。这可能是由于用于创建通道的 EndpointAddress 中不存在 EndpointIdentity .......
weixin_30538029的博客
08-02 345
遇到这个问题我的第一反应就是客户端和服务端的配置不同造成的。 如果是通过VS引用服务地址的方式添加的服务只要更新服务引用后这个问题就解决了。 但是如果是通过自己手写代码调用就要注意 检查一下EndpointAddress 中EndpointIdentity客户端和服务器设置是否统一,另外确认两端的安全级别一致。 例如 :我在服务端配置中设置了 <wsHttpB...
安全通道实用工具nltest.exe的使用简介(下) (转)
ciya3282的博客
08-17 213
安全通道实用工具nltest.exe的使用简介(下) (转)[@more@]XML:namespace prefix = o ns = "urn:schemas-microsoft-com:Office:office" /&g...
安全通道无效
心想事成
01-26 429
安全通道无效netdom VERIFY dc3.dns.czds 从 DC3.DNS.CZDS 到 DNS 的安全通道无效。目前没有可用的登录服务器,无法处理登录请求。netdom reset dc2
Spring Security 的ChannelProcessingFilter 使用https请求
rabbit0708的专栏
05-08 2334
7.4.6  确保一个安全通道 字母“s”是Internet上最重要的字母。任何一个在Web上冲浪超过五分钟的人都知道绝大多数Web页面均与以“http://”打头的URL相关联。那是因为绝大多数Web页面都通过HTTP协议被请求和发送。 对于绝大多数页面来说,HTTP完全够用,但是当有秘密信息在Internet上四处传输时就不够用了。通过HTTP发送的信息很容易被无法无天的黑客截获和读取,
cas+acegi中app-config-acegi-security.xml的配置
soyestrellafortuna的专栏
12-11 1341
<!-- if you need to use channel security, add "channelProcessingFilter," before "httpSessionContextIntegrationFilter" --> <![CDATA[ CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARIS
配置tomcat ,结合acegi security 实现SSL(转)
anzuo1231的专栏
07-04 150
一,先修改TOMCAT的配置文件server.xml ,在其中找到以下内容: <!-- Define a SSL HTTP/1.1 Connector on port 443 --> <!-- <Connector port="443" maxHttpHeaderSize="8192" maxThrea...
使用 Acegi Security 集成 CAS
05-20 1991
一、背景 公司早期开发的一系统S
SpringSecurity学习笔记之四:拦截请求
热门推荐
zhoucheng05_13的博客
03-05 5万+
在任何应用中,并不是所有请求都需要同等程度地保护起来。有些请求需要认证,有些则不需要。 对每个请求进行细粒度安全性控制的关键在于重载configure(HttpSecurity)方法。如下代码片段展现了重载的configure(HttpSecurity)方法,它为不同的URL路径有选择地应用安全性:@Override protected void configure(HttpSecurity ht
Acegi安全框架入门配置详解
Acegi安全框架是一个广泛使用的Java安全框架,它允许开发者实现细粒度的访问控制,以及灵活的身份验证和授权机制。在开始使用Acegi时,理解其基础配置是至关重要的。 一、web.xml中过滤器的配置 1) ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值