Struts2 编写安全策略(四十五)

最新推荐文章于 2023-10-04 12:33:46 发布
最新推荐文章于 2023-10-04 12:33:46 发布
阅读量581 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luobing_csdn/article/details/66969303
版权
编写安全策略 包含(1保护资源,2指定登录方法)

----保护资源 

   在web应用程序中保护资源 ,需要在web.xml文件中配置<security-constraint>元素,该元素的语法定义如下:
<!ELEMENT security-constraint(display-name?,web-resource-collection+,auth-constraint?,user-data-constraint?)>

上述语法定义的含义如下:
display-name? :包含的是xml编辑器显示的名称.可选的 ,最多只有一个
web-resource-collection+:可选的 ,一个或多个
auth-constraint?:可选  最多一个
user-data-constraints?: 可选 最多一个


---<web-resource-collection>元素可以包含如下几个子元素----- 

   <web-resource-name>:用来标识一个资源  (这个必须,下面可选)
   <discription>:用来对资源进行描述 
   <url-patter>:用来定义个URL模式,所有与这个URL模式相匹配的URL地址的资源都将受到保护. (可以是 0个 或 多个)
   <http-method>:用来定义受限制的HTTP请求方法.例如设置其值为POST,则POST 请求方法将受到限制.


---<auth-constraint>元素可以包含的几个子元素----- 

  <role-name>:用来指定允许访问受保护资源的角色,可以配置多个. (0个或多)
  <discription>:用啦定义描述信息. (可选)


---<user-data-constraint>元素可以包含的子元素--- 

  description:定义描述信息
  transport-guarantee:用来定义数据传输的保护形式.
    有如下可选值:
    integral:表示web应用程序在传输数据时,必须保证数据在传输过程中不被修改.
   confidential:表示web应用程序在传输数据时,必须对传输的数据加密.
   none:表示web应用程序在传输数据时,不做任何额外保护.

web.xml 
<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.5" 
	xmlns="http://java.sun.com/xml/ns/javaee" 
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
	xsi:schemaLocation="http://java.sun.com/xml/ns/javaee 
	http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">
 <filter>
 	<filter-name>struts2</filter-name>
 	<filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>
 </filter>
 <filter-mapping>
 	<filter-name>struts2</filter-name>
 	<url-pattern>/*</url-pattern>
 </filter-mapping>
 
 <!-- 编写安全策略 -->
 <security-constraint>
 	<web-resource-collection>
 		<web-resource-name>Admin</web-resource-name>
 		<description>nobody but admin</description>
 		<url-pattern>/admin/*</url-pattern>
 	</web-resource-collection>
 	<!-- 指定可以访问的角色  -->
 	<auth-constraint>
 		<role-name>admin</role-name>
 	</auth-constraint>
 </security-constraint>
 
 <!-- 定义安全角色 -->
 <security-role>
 	<role-name>admin</role-name>
 </security-role>
 
 
  <welcome-file-list>
    <welcome-file>index.jsp</welcome-file>
  </welcome-file-list>
</web-app>

然后在 WebRoot\admin\test.jsp 

  <body>
    security-constraint:test.jsp
  </body>

发现访问 http://localhost:8080/Struts2-token/admin/test.jsp 出现 401错误 而 如果不配置安全策略 则可以直接访问 admin/test.jsp

---指定登录方法--- 

    在上面的示例中,将admin文件夹下面的所有资源都列为保护资源,只允许角色为admin的用户进行访问.那么,如果判断用户角色是否是admin呢?或者说 用户如何让程序知道自己的角色是admin?这时候  我就需要对用户的登录方法进行定义,也就是给出用户证明身份的渠道.
  在web中,定义用户的的登录方法,是通过web.xml文件中使用<login-config>元素进行配置的 语法如下:
<!ELEMENT login-config (auth-method?,realm-name?,form-login-config?)>

<auth-method>:用来指定用户身份验证的方法,可选值有:基本方式(BASIC),基于摘要方式(DIGEST),基于表单方法(FORM),SSl(Secure Socket Layer)方式和基于客户证书方法(CLIENT-CRET).

<realm-name>:用来定义一条提示信息.如果使用BASIC身份验证,提示信息建显示在标准的登录对话框中.

<form-login-config>:用来指定一个登录页面,以及一个身份验证失败时的错误页面,该元素在<auth-method>元素的FORM是使用才有意义.


---基表身份验证方法 (BASIC)----
struts.xml 
<action name="test">
			<result name="success">/admin/test.jsp</result>
		</action>


wem.xml 在上面的web.xml中加入下面的配置 
<!-- 使用基本身份验证方法 BASIC -->

  <!-- 安全策略 -->
 <security-constraint>
 	<web-resource-collection>
 		<web-resource-name>Admin</web-resource-name>
 		<url-pattern>/test.action</url-pattern>
 	</web-resource-collection>
 	<!-- 指定可以访问的角色  -->
 	<auth-constraint>
 		<role-name>admin</role-name>
 	</auth-constraint>
 </security-constraint>
 <!-- 定义用户的的登录方法 -->
 <login-config>
 	<!-- 指定用户身份验证的方法 -->
 	<auth-method>BASIC</auth-method>
 	<!-- 用来定义一条提示信息 -->
 	<realm-name>taobao</realm-name>
 </login-config>


然后在 C:\apache-tomcat-6.0.20\apache-tomcat-6.0.20\conf 下的
tomcat-users.xml 加上 role 和 user 的配置 
<tomcat-users>
<role rolename="admin"/>
<user username="iteye" password="10101" roles="admin"/>
</tomcat-users>


//访问上面的 地址
--http://localhost:8080/Struts2-token/test.action
输入 iteye 10101 就可以看到正式 /admin/test.jsp 的内容了

---Struts2 的安全配置--- 

  在Struts2应用中,大多数用户请求都需要经过Action,所以Struts2的安全配置应该针对Action,如果需要限制所有Action访问,只需要在web.xml文件中将.action结尾的所有请求全部配置为受保护资源即可.
 <url-pattern>*.action</url-pattern>
在web.xml文件中对所有的.action结尾的用户进行身份限制

在Strut2应用中,可以通过Roles拦截器去指定那些角色可以访问指定的Action动作.Roles拦截器有如下几个参数:

allowedRoles: 设置允许访问指定Action动作的角色,多个角色之间使用英文状态的逗号(,)隔开.

disaledRoles:设置不允许访问指定Action动作的角色,多个角色之间使用英文状态的逗号(,)隔开

<action name="useRoles">
  <interceptor-ref name="roles">
      <param name="allowedRoles">admin</param>
  </interceptor-ref>
  <result name="success">/success.html</result>


--getAuthType()方法--- 

   getAuthType()方法用来返回身份验证方法的名称,该方法有如下几个返回值:BASCI FORM CLIENT_CERT DIGEST 如果用户灭有通过身份验证该方法返回null



package com.sh.action;

import javax.servlet.http.HttpServletRequest;

import org.apache.struts2.ServletActionContext;

import com.opensymphony.xwork2.ActionSupport;

public class AuthType extends ActionSupport {

	@Override
	public String execute() throws Exception {
		HttpServletRequest request=ServletActionContext.getRequest();
		String methodName=request.getAuthType();
		System.out.println(methodName);
		return SUCCESS;
	}
	
}

struts.xml 
<action name="authType" class="com.sh.action.AuthType">
	<result name="success">/success.html</result>
</action>

web.xml 加入下面的配置 
<security-constraint>
	<web-resource-collection>
		<web-resource-name>Admin2</web-resource-name>
		<url-pattern>*.action</url-pattern>
	</web-resource-collection>
	<auth-constraint>
		<role-name>admin</role-name>
	</auth-constraint>
</security-constraint>


--访问
---http://localhost:8383/Struts2-token/authType.action


---isUserInRole()--------
判断已经通过身份验证的用户  所拥有的角色 

package com.sh.action;

import javax.servlet.http.HttpServletRequest;

import org.apache.struts2.ServletActionContext;

import com.opensymphony.xwork2.ActionSupport;

public class UserInRole extends ActionSupport {

	@Override
	public String execute() throws Exception {
		// TODO Auto-generated method stub
		HttpServletRequest request=ServletActionContext.getRequest();
		boolean flag1=request.isUserInRole("admin");
		System.out.println("登录用户是否拥有admin角色:"+flag1);
		return SUCCESS;
	}
   
}

struts.xml 

<action name="userInRole" class="com.sh.action.UserInRole">
			<result name="success">/success.html</result></action>


--getUserPrincipai()方法---
获取登录的用户名 

package com.sh.action;

import javax.servlet.http.HttpServletRequest;

import org.apache.struts2.ServletActionContext;

import com.opensymphony.xwork2.ActionSupport;

public class UserPrincipai extends ActionSupport {

	@Override
	public String execute() throws Exception {
		//获取 通过身份验证的用户名
		HttpServletRequest request=ServletActionContext.getRequest();
		String userName=request.getUserPrincipal().getName();
		System.out.println(userName);
		userName=request.getRemoteUser();
		System.out.println(userName);
		return SUCCESS;
	}
}



<action name="userPrincipai" class="com.sh.action.UserPrincipai">
			<result name="success">/success.html</result>
		</action>
麻辣小布叮
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring3+security3+struts2开源权限项目
05-09
完整的RBAC结构(数据库扩展形式),完整安全流程访问(依赖SPRING SECURITY的过滤链),多数据源切换(依赖SPRING),数据缓存功能(依赖EHCACHE)
Struts 2应用程序安全功能的配置详解
weixin_33806914的博客
12-06 79
安全性是Web应用程序开发工作中最关键的问题之一。在基于servlet的应用程序里,保护应用程序资源的办法有两种:一是对应用程序进行配置(web.xml),二是使用Java代码硬编码到程序中。前一种方法使用配置文件,该方法很灵活,这是因为通过使用配置文件,无需改写任何代码就可以改变安全策略,是一种常见的手段。而Struts 2是基于servlet技术的,所以Struts 2的...
Struts2安全性学习笔记
qq_31099265的博客
08-23 315
Struts2安全性保证了服务器端指定资源不会轻易通过用户访问得到。 在tomcat中的conf文件中的tomcat-users.xml中添加角色,以及与角色相对应的用户及密码: 上面的这些角色例如"manager"可以通过部署描述文件来访问指定资源。元素security-constraint来保护相应资源,其子元素web-resource-collection
WebIM-for-Struts2 v1.0
10-06
综上所述,WebIM-for-Struts2 v1.0项目涵盖了Struts2框架的使用、WebSocket的集成、前端开发、数据库设计、安全策略以及性能优化等多个方面,为开发者提供了在Struts2环境中实现即时通讯功能的完整解决方案。...
Struts2框架安全缺陷.pdf
10-05
然而,如同任何复杂软件系统一样,Struts2也存在一些安全缺陷,这些缺陷可能导致严重的安全问题,如SQL注入、跨站脚本(XSS)攻击等。 Struts2的安全问题主要集中在两个方面:框架本身的缺陷和开发者在使用框架时的...
Struts2漏洞利用工具Devmode版
10-26
同时,安全工作不仅仅是检测漏洞,还包括定期更新框架和依赖,以及制定和执行严格的安全策略。 总之,"Struts2漏洞利用工具Devmode版"是网络安全领域的重要工具,它帮助我们识别并解决Struts2框架的潜在风险,提升...
Struts2的输入校验实例代码
08-31
总结来说,Struts2的输入校验是通过结合客户端和服务器端的校验策略,提供了一套全面且灵活的数据验证机制。代码校验和配置校验都各有优势,可以根据项目的具体需求选择合适的方式。在实际开发中,通常会结合两者以...
struts2文件上传下载源代码
10-02
总的来说,Struts2提供了方便的API和配置选项来处理文件上传和下载,开发者只需要按照规范编写Action类,配置Struts2,就能实现高效稳定的文件管理功能。同时,对于大型项目,还需要考虑文件的存储策略、安全性(如...
表单RSA加密实例+Struts2
03-28
表单RSA加密实例+Struts2.一份简单的RSA加密
struts2 Security 注解式权限处理
TUYUAN126的专栏
08-29 175
原有的根据地址访问控制权限.有些麻烦.所以写了个struts2 的 注解权限处理..   对于页面根据权限是否显示某个按钮.可以通过struts2 访问静态方法去实现.这里就不写了.   代码如下:   @Security:   @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @...
struts安全保护机制
hhtq的博客
03-21 446
配置保护资源 1.元素中的子标签为 用来标示一个资源 用来对资源进行描述 用来定义一个URL模式,所有与这个URL模式相匹配的URL地址的资源都将受到保护 用来定义受限制的HTTP请求方法。例如设置其值为POST,则POST请求方法将受到限制。 2. 允许访问受保护资源的角色 描述角色 3.包含元素,用来定义数据传输的保护形式 INTEGRAL: 保证数据在传输过程中不
struts2使用MD5给pwd加密
weixin_33738555的博客
11-03 302
直接给出实例: <%@ page language="java" pageEncoding="gb2312" %> <!-- 导入struts2标签库 --> <%@taglib uri="/struts-tags" prefix="s"%> <html> <head> <title...
Struts S远程代码执行漏洞:安全威胁与防御措施
最新发布
XvrgMatlab的博客
10-04 48
为了保护应用程序免受此漏洞的影响,开发人员和系统管理员应遵循安全最佳实践,包括及时更新框架、验证和过滤输入、实施安全配置和输入转义,以及进行安全审计和监控。通过综合应用这些防御措施,可以减少Struts S远程代码执行漏洞的风险,提高应用程序的安全性。漏洞的核心在于对用户输入数据的解析和处理不当,导致攻击者可以通过构造特定的恶意请求来执行任意代码。远程执行任意代码:攻击者可以在受影响的应用程序上执行任意代码,从而进一步扩大攻击范围,甚至对底层服务器进行攻击。这可以防止恶意代码的注入和执行。
struts2框架实现登录注册注销,后台验证+mysql密码加密
warmwine的博客
04-14 1587
struts2框架实现登录注册注销,后台验证+mysql密码加密any question or wanna codes, just contact with me by loooln@126.comIf u're walking down 2 the right path and u're willing 2 keep walking, eventually u'll make progress!...
Struts2 Action交互解密加密JSON参数
zhang6622056的专栏
03-21 3332
最近在工作用遇到了struts2与前台ajax交互json数据的写法。摒弃了之前的response.getWriter().write 方法。 用以下方法进行了相关的实现: 后台服务器端: JSONObject obj = JSONObject.fromObject(ResultOfMap); this.str = obj.toString(); //response.set
struts2异常处理机制
weixin_33841722的博客
02-04 143
一、处理一般异常(javaBean异常)      struts2进行异常处理首先需要添加exception拦截器,而默认拦截器栈已经加入了这个拦截器,所以不用特意的声明。在Struts 2框架中,采用声明式异常处理方式。在这种方式下,只需要在struts.xml文件中进行配置,Struts 2便能够处理异常,并跳转到相应的视图,而在Action中无须编写任何异常处理代码。 如果Act...
struts2异常页面配置《做参考》
ndsafhhlk的专栏
05-30 905
今天处理了struts2 的异常,跟大家分享下: 1.处理不存在的Action: 只需在struts.xml中加 1 default-action-ref name="defaultAction" /> 2 action name="defaultAction" class="com.lsw.permiss
Struts2.3核心开发者指南与教程
Struts2集成了Spring框架的DI特性,允许你在不编写大量工厂和setter方法的情况下管理对象及其依赖关系,使得代码更加简洁和可测试。 **性能调优与安全** 教程还涵盖了性能调优的策略,包括如何配置应用程序以达到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值