6.2 Authentication

最新推荐文章于 2023-07-11 14:04:15 发布
最新推荐文章于 2023-07-11 14:04:15 发布
阅读量301 收藏
点赞数
分类专栏: # 六、Security 文章标签: python java centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q237895772/article/details/120586927
版权

6.2 Authentication

此页面管理身份验证选项,包括身份验证程序和身份验证链。

6.2.1 Logout settings

注销登录后跳转到的URL地址,可以是空,绝对或相对URL地址。
在这里插入图片描述

6.2.2 SSL settings

SSL端口设置,默认是443。
在这里插入图片描述

6.2.3 Brute force attack prevention settings

GeoServer可通过主动延迟来预防暴力攻击,该页面用于设置相关参数。
在这里插入图片描述

  • Enabled:是否启用暴力攻击防预功能,默认启用;

  • Minimum delay on failed authentication (seconds):当登录失败时,在获得响应之前,将等待的最小秒数,默认为1秒;

  • Maximum delay on failed authentication (seconds):当登录失败时,在获得响应之前,将等待的最大秒数,默认为5秒;

  • Excluded network masks (comma separated):排除的网络掩码列表,用于标识从暴力攻击防范中排除的主机。可以为空,特定IP或网络掩码列表。默认为127.0.0.1,但设置为127.0.0.1似乎并没有什么用,而要设置为本机IP地址;

  • Maximum number of threads blocked on failed login delay:限制登录失败时延迟的线程数,应设置为小于容器可用的线程数。

6.2.4 Authentication Filters

Authentication Filters用于管理身份认证过滤器(添加,删除和编辑)。默认情况下GeoServer配置了四个身份认证过滤器(anonymous,
basic,form和rememberme)。
在这里插入图片描述

同时也可以通过点击“Add new”来添加其他过滤器。
在这里插入图片描述

  1. Anonymous

默认情况下,GeoServer允许匿名访问管理界面,但只能查看图层预览,功能文档和“关于GeoServer”中的基本信息。通过移除anonymous可以删除匿名访问。但删除后,如果还修改了其他配置需要保存时,将会遇到如下错误,表示需要从对应的Filter
Chain中删除anonymous,参见6.2.5。
在这里插入图片描述

但是一旦这样做之后,将可能导致无法访问GeoServer登录页面,是不是很可怕,所以最好不要轻易尝试。若您不小心删除了的话,也不用担心,可以通过以下方法恢复:

在<data_dir>\security\filter\anonymous下新建文件config.xml,编辑文件内容如下:

<anonymousAuthentication>

<id>6505f211:16cd1fa4b32:-7ffe</id>

<name>anonymous</name>

<className>org.geoserver.security.filter.GeoServerAnonymousAuthenticationFilter</className>

</anonymousAuthentication>

然后在<data_dir>\security\config.xml文件中增加如下内容:
在这里插入图片描述

保存后重启GeoServer就可以了。

  1. Basic

使用HTTP基本认证。当客户端发送http
请求给服务器,服务器验证该用户是否已经登录,如果没有的话,服务器会返回一个401给客户端,并且在Response的header中添加WWW-Authenticate;浏览器在接受到401后,会弹出登录验证的对话框(如下图),用户输入用户名和密码重新登录。
在这里插入图片描述

  1. Form

即通过表单验证用户名密码,其中Username parameter和Password
parameter就是表单参数名。
在这里插入图片描述

  1. Rememberme

用户登录后,服务端为用户生成一个Token,并放入客户端Cookie中。下次用户登录时,服务端验证Cookie中的Token并自动登录。

在登录GeoServer时勾选Remember
me,然后重启GeoServer(由于注销登录会重新生成Token,所以重启GeoServer来模拟用户退出登录以保留Token),这时仍然可以访问GeoServer的任意页面,因为浏览器已经从Cookie中获取登录信息并且重新登录。

  1. J2EE

诸如Tomcat和Jetty之类的Servlet容器提供了自己的身份认证。GeoServer完全可以委托给servlet容器进行身份认证。

  1. X.509

X.509格式证书是被广泛使用的数字证书标准。GeoServer可以通过提取X.509证书的Common
Name (CN)进行身份验证。

  1. HTTP Header

类似J2EE,不同的是J2EE通过getUserPrincipal方法获取用户信息,而HTTP
Header是从HTTP头中获取用户信息,Request header
attribute就是用于设置该请求头名称的。

  1. Digest

Digest authentication与Basic认证类似,只是加密方法不同,Basic认证是把用户和密码通过base64加密后发送给服务器,这种方案非常不安全。Digest认证则是用户名和密码结合起来进行不可逆的摘要加密运算得到一个值发送给服务器。

  1. Credentials From Headers

此筛选器可以通过灵活且可配置的方式从请求头中收集用户凭据(用户名和密码),其配置参数如下:
在这里插入图片描述

  • Username Header:包含用户名的请求标头的名称;

  • Regular Expression for Username:用于从相关请求头中提取用户名的正则表达式;

  • Password Header:包含密码的请求头的名称;

  • Regular Expression for Password:用于从相关请求头中提取密码的正则表达式;

  • Parse Arguments as Uri Components:提取的用户名密码是否需要进行Uri解码。

Authentication Providers

Authentication
Providers用于添加,删除和编辑身份认证程序,默认的身份认证程序是使用用户名/密码验证,也可以使用JDBC和LDAP身份验证。
在这里插入图片描述

点击“Add new”或者在列表中点击想要修改的身份验证程序,跳转到身份验证程序配置页面。在“Add
new”页面中可以选择身份验证程序,其中Username Password验证是默认选择的:
在这里插入图片描述

  1. Username Password:用户名/密码验证比例简单,只需要设置命名和关联的用户组服务(用户组服务见6.4.1)即可;
    在这里插入图片描述

  2. JDBC

通过JDBC进行身份验证,简单理解为可以使用数据库的用户名密码登录GeoServer,配置选项除命名和关联的用户组服务外,还有JDBC连接参数,如下所示:
在这里插入图片描述

  • Driver class name:用于连接数据库的JDBC驱动程序,默认支持org.hsqldb.jdbc.JDBCDriver、org.postgresql.Driver、org.h2.Driver和org.sqlite.JDBC四种;

  • Connection URL:用于创建数据库连接的URL,例如jdbc:postgresql://localhost:5432/postgres;

  • User name/Password:用于测试连接的用户名密码。

  1. LDAP

通过LDAP进行身份验证。LDAP是轻量目录访问协议,英文全称是Lightweight Directory
Access Protocol,简称为LDAP。

LDAP身份验证程序的配置选项可分为两部分,LDAP基本参数配置和身份验证参数设置。若要把LDAP完全讲清楚不是一件容易的事,需要大量篇幅,因此,在这里只简单介绍一下,如果您对LDAP非常感兴趣可自行查阅相关资料。
在这里插入图片描述

  • Server
    URL:连接LDAP服务器的URL,例如ldap://domain-controller/dc=ad,dc=local;

  • TLS:是否启用S​​TARTTLS连接(S​​TARTTLS是一种明文通信协议的扩展,能够让明文的通信连接直接转为加密连接);

  • User lookup
    pattern:用户dn过滤规则,Pattern中应包含占位符{0}来替换用户的uid,示例:uid={0},ou=people;

  • Filter used to lookup
    user:用户过滤器,示例:(|(userPrincipalName={0})(sAMAccountName={1}));

  • Format used for user login name:登录用户名格式化字符串,需与Filter used to
    lookup user配合使用,示例:{0}@ad.local;

  • Username/Password:用于测试连接的用户名密码;
    在这里插入图片描述

  • Use LDAP groups for
    authorization:使用LDAP组进行角色分配,不勾选时使用用户/组服务进行角色分配,默认是勾选的。以下参数都是在勾选此项时才有;

  • Bind user before searching for groups:在进行组搜索之前是否绑定LDAP服务器;

  • Group search base:指定从哪个分支开始查找用户组,示例:cn=Users;

  • Group search filter:用户组过滤规则,示例:member={0};

  • Group to use as ADMIN:要映射到管理员角色(ADMIN)的组名称;

  • Group to use as GROUP_ADMIN:要映射到管理员组角色(GROUP_ADMIN)的组名称。

6.2.6 Filter Chains和Provider Chain

在把请求发送给相应的服务或处理程序之前,GeoServer首先通过身份认证链过滤请求。请求将按顺序传递给链中的每个认证机制,每个机制都将对请求进行身份认证。如果链中的某个机制能够成功进行身份验证,则请求将发送给正确的服务或处理程序。否则,向用户返回授权错误(通常是HTTP 401)。

对于GeoServer,身份认证链实际上由两个链组成:一个过滤器链(Filter Chains),用于确定请求是否需要进行身份认证;另一个是身份认证程序链(Provider Chain),用于执行实际身份认证。

过滤器链执行的任务包括:

  • 从请求中收集用户凭据,例如从Basic和Digest Authentication头中收集;

  • 处理事件,例如注销时结束会话,或勾选Remember Me时设置浏览器cookie;

  • 执行会话集成,检测现有会话并在必要时创建新会话;

  • 调用身份认证程序链以执行身份认证。

q237895772
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
geoserver 发布影像数据_geoserver服务器上发布的数据下载
weixin_39792049的博客
12-21 739
昨天我发布了一个arcgis pro里的大秘密,其实geoserver里也有 ArcGIS Pro里的大秘密之MapServer转矢量shp 2020-03-14 我们以网上发布的随便一个geoserver服务...
CAS4.2.4 连接Liferay6.2以上版本数据库用户表验证用户 project
08-04
在这个项目中,我们将探讨如何使用CAS 4.2.4版本与Liferay 6.2及以上版本的数据库集成,以便在用户登录时通过验证Liferay的用户表来确认用户身份。 Liferay是一款开源的企业级门户平台,提供内容管理、社交网络和...
geoserver-2.22.2-authkey-plugin 接口authkey鉴权的使用
nongchao2011的专栏
06-02 915
geoserver-authkey如何使用
利用geoserver发布矢量切片,mapbox进行调用
热门推荐
qq_24622397的博客
11-01 1万+
1、新建工作区 2、添加数据存储,选择矢量数据源下的文件夹方式,注意字符集编码。点击确定提交之后会出现该文件下的所有shpfile的图层发布界面。 3、或者选择左边的图层菜单,新建图层,选择工作区,进行图层进行发布。 4、设置图层的经纬度范围 5、切换到Tile Caching页面,设置发布切片的格式,矢量切片包括geojson、topojson、pbf,其
geoserver加权限验证的问题
qq_39330397的博客
07-11 674
我看官方服务的例子,它这个访问掉了一个登录验证的接口,往浏览器cookie里面塞了一个jessionid值,然后服务就能访问。发现URL.createObjectURL(tileRequest.response)请求一直在报错。加载geoserver的wms服务的时候,需要在header里添加用户名和密码的验证。注:暂没有验证这个jession的有效期。我试了下调一下登录接口确实可以。
MapBox加载GeoServer发布的WMS地图服务
做GIS梦的人
03-08 6227
使用MapBox加载GeoServer发布的WMS地图服务,测试一下成功,但是发现好像不支持4326坐标系,只支持3857坐标系,最终没有找到怎么加载4326坐标系的WMS服务。加载代码如下: &lt;!DOCTYPE html&gt; &lt;html lang="en"&gt; &lt;head&gt; &lt;meta charset="UTF-8"&gt; &lt;ti
geoserver矢量切片加密与调用
LZUGIS
04-26 1238
本文,讲的是有关安全的话题。 概述 GIS的数据一直是比较敏感的,所以数据安全也是一个“老生常谈”的话题。本文利用geoserver的矢量切片插件对数据进行发布,通过自己写的中间接口实现矢量切片的加密,并修改mapboxGL源码,添加数据的解密与展示。 实现效果 实现 1. MapboxGL 2.X离线时候的token强认证 2.X的mapboxGL是有token的强制认证的,离线的时候我们可以通过修改源码取消这个强制认证。 2. geoserver矢量切片加密 大致流程如下: 修改vect.
Linux-PAM-0.99.6.2.zip_WideCharToMultiByte_linux pam _pam 0.99_p
09-23
PAM(Pluggable Authentication Modules,可插拔认证模块 )是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API,将系统提供的服务 和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给...
liferay + cas + ldap 集成配置
03-23
标题 "Liferay + CAS + LDAP 集成配置" 涉及到的是在企业级内容管理系统 Liferay 中集成 Central Authentication Service (CAS) 和 Lightweight Directory Access Protocol (LDAP) 的过程。这种集成允许用户通过CAS...
Geoserver用户手册
07-31
6.2 Directory of spatial files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 i 6.3 Java Properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ....
tornado-2.2.1.tar.gz
03-22
7. **Authentication与Session管理**: Tornado提供了一些基础的认证和会话管理工具,尽管不如一些大型框架功能丰富,但足以满足基本需求。 在Tornado 2.2.1这个版本中,可能存在一些已知的问题和限制,如不支持...
GeoServer 图层访问控制身份验证
a571574085的博客
04-13 2777
GeoServer 图层访问控制身份验证,一般根据 角色和用户 + 过滤链 去实现。 在角色和用户里,去配置账号密码权限(一般搞三个角色:一个角色用于数据读取,一个角色用于数据创建,另一个角色用于数据管理)。 过滤链里加一个过滤器,用对应的用户去过滤,从而控制访问。 1.角色和用户配置 1.1.可以对工作区的进行权限控制 必须使用一个用户定义一个角色,然后将适当的规则链接到该角色。 1.2.可以对具体图层进行权限控制 2. 过滤链 ...
geoserver样式浅析2
Wilson的博客
10-20 3306
CssParameter:特点可叠加(如道路样式的设置) 点 基本属性 线 基本属性 Stroke:边界 stroke-width:线宽stroke-opacity:透明度stroke-linecap:线两端样式 stroke-dasharray:虚线化 stroke-dashoffset:虚线偏移量GraphicStroke:图片形边界,包含Graphic的功
GeoServer Rest服务启动匿名认证的配置方法
weixin_30613343的博客
11-01 386
GeoServer Rest服务数据默认需要进行用户名、密码的认证,如不需进行该认证,则启动匿名认证即可,配置方式如下(针对war包发布的GeoServer应用): 在GeoServer war包的解压包中找到:Tomcat 9.0\webapps\geoserver\data\security\rest.properties文件,并修改该文件配置, 将GET 的值改为IS_AUTHENT...
geoserver源码学习与扩展——restAPI访问
banhusao3974的博客
03-23 1025
产生这篇文章的想法是在前端通过js调用restAPI时,总是不成功,发送ajax请求时还总是出现类似跨域的问题,后来查找才发现,默认情况下restAPI的访问都需要管理员权限,而通过ajax请求传输用户名和密码,geoserver服务器并没有相应的过滤器进行解析,后在geoserverAuthentication页面发现有rest的授权设置,想到之前为default(/**)设置的UU...
Geoserver基础知识一:登录名和密码设置
MX898的博客
08-23 3995
geoserver默认登录名和密码:admin 和geoserver geoserver登录名和密码文件存放位置:D:\Program Files (x86)\GeoServer 2.9.0\data_dir\security\users.properties
geoserver跨域问题解决
qq_22239651的博客
09-28 6644
    我们通常需要通过ajax跨域访问GIS服务,GeoServer默认是不支持跨域的,通常直接访问浏览器会报类似:XMLHttpRequest 、not allowed by Access-Control-Allow-Origin的错误提示。 一、GeoServer 2.3.2版本设置 1、下载跨域文件CrossOriginFilter.class并将插件放入&lt;Geoserver&g...
Authentication authentication
最新发布
10-08
Authentication authentication是一个身份验证对象,它在身份验证过程中被使用。该对象包含有关用户身份的信息,例如用户名、密码、角色等。authenticate()方法是用于执行身份验证逻辑的方法,它接收一个未通过认证的Authentication对象,并返回一个通过认证的Authentication对象。 supports()方法是用于判断AuthenticationProvider是否支持指定的身份验证对象的方法。它接收一个Authentication对象作为参数,在支持该身份验证对象的情况下返回true。但是返回true并不保证AuthenticationProvider能够对提供的Authentication对象进行身份验证,它只是表明它可以支持对其进行更深入的验证。AuthenticationProvider仍然可以返回null,以尝试其他的AuthenticationProvider进行验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值