Tomcat的4种安全域

最新推荐文章于 2021-07-01 16:18:14 发布
最新推荐文章于 2021-07-01 16:18:14 发布
阅读量848 收藏 1
点赞数
分类专栏: Tomcat 文章标签: tomcat 数据库 authentication string jdbc java

 

1、内存域(MemoryReal)
内存域是由org.apache.catalina.realm.MemoryRealm类来实现的。MermoryRealm从一个XML文件中读取用户信息。默认情况下,该XML文件为tomcat安装目录的conf/tomcat_users.xml。在这个文件中定义了每个用户拥有的角色。

2、JDBC域
JDBCRealm通过JDBC驱动程序访问存放在关系型数据库中的安全认证信息,JDBC域使得安全配置非常灵活。当修改了数据库中的安全认证信息后,不必重启tomcat服务器(两者是相互独立的)。
当用户第一次访问受保护的资源时,Tomcat将调用Reaml的authenticate()方法,该方法从数据库中读取最新的安全认证信息。该用户通过认证之后,在用户访问Web资源期间,用户的各种验证信息被保存在缓存中。
3、DataSource域
DataSource域和JDBCRealm域的两者的不同是访问数据库的方式不一样:DataSource通过
JNDI来访问数据库。而JDBCRealm通过JDBC驱动程序来访问数据库。

区别:通过JDBC API连结数据库是一种最原始、最直接的方法。而DataSource封装了通过JDBC API来连结数据库的细节,它采用数据库连结池机制,把可用的数据库连结保存在缓存中,避免每次访问数据库都建立数据库连结,这样可以提高访问数据库的效率。

适用场合: 在任何Java应用中,都可以直接通过JDBC API连结数据库,如果需要的话,可以手工编程实现数据库连结池。当Java应用运行在JavaWeb容器或EJB容器中时,可以优先考虑使用由容器提供的DataSource。以Tomcat容器为例,DataSource实例被作为JNDI资源发布到Tomcat容器中,Tomcat容器负责维护DataSource实例的生命周期,Java Web应用通过JNDI来获得DataSource实例的引用。

JNDI(The Java Naming and Directory Interface,Java命名和目录接口)是一组在Java应用中访问命名和目录服务的API。命名服务将名称和对象联系起来,使得我们可以用名称访问对象。目录服务是一种命名服务,在这种服务里,对象不但有名称,还有属性。

4、JNDIRealm
JNDI Directory Realm将Catalina连接到一个LDAP目录,通过正确的JNDI驱动访问。LDAP目录存储了用户名,密码以及他们相应的角色。LDAP(轻量级目录访问协议)的英文全称是Lightweight Directory Access Protocol,LDAP是用来访问存储在信息目录(也就是LDAP目录)中的信息的协议。更为确切和正式的说法应该是 “通过使用LDAP,可以在信息目录的正确位置读取(或存储)数据”。LDAP最大的优势是:可以在任何计算机平台上,用很容易获得的而且数目不断增加的LDAP的客户端程序访问LDAP目录。而且也很容易定制应用程序为它加上LDAP的支持。

JNDI Realm支持许多使用LDAP进行认证的方法:
a、realm可以使用模式来决定用户目录条目的唯一名字(distinguished name),或者搜索目录来定位该条目;
b、realm可以将用户条目的唯一名字和用户给出的密码绑定到目录上,对用户进行认证;或者,从用户条目中取出密码,在本地进行比较;
c、在目录中,角色可以以单独的条目存在(比如,用户所属的组条目),或者,角色可以是用户条目的一个属性,或者两种情况都是;
除了到目录的连接,用户从目录中获取信息的元素和属性名称以外,Directory Realm还支持很多其他的附加属性:
属性 描述
authentication 使用的认证类型,字符串类型。可以是“none”,“simple”,“strong”或者提供者定义的其他类型,如果没有值,使用提供者提供的缺省值。

connectionName 创建目录连接使用的目录用户名。如果没有指定,使用匿名连接,这在大多数情况下就足够了,除非你指定了userPassword属性

connectionPassword 创建目录连接使用的目录密码。如果没有指定,使用匿名连接,这在大多数情况下就足够了,除非你指定userPassword属性。

connectionURL 创建目录连接时,传递给JNDI驱动的连接URL。

contextFactory 用来取得JNDI InitialContext的工厂类的Java类名。缺省情况下,假定使用标准的JNDI LDAP提供者。

protocol 使用的安全协议。如果没有指定,使用提供者提供的缺省值。

roleBase 用于角色查找的基准目录条目。如果没有指定,使用目录上下文的顶级元素。

roleName 在角色查找中,包含角色名的属性的名称。另外,在用户条目中,你可以使用userRoleName来指定包含额外角色名的属性名称,。如果没有指定,不搜索角色,角色存在于用户条目中。

roleSearch 用来进行角色查找的LDAP过滤器表达式。使用{0}来代替用户的唯一名称,{1}来代替用户名。如果没有指定,不对角色进行搜索,角色从用户条目中由userRoleName指定的属性得到。

roleSubtree 在查找与用户相关联的角色时,如果想搜索由roleBase属性指定的元素的整个子树,设为true。缺省值为false,只对顶级元素进行搜索。

userBase 在使用userSearch表达式搜索用户的时候的基准元素。如果使用userPattern表达式进行搜索,不使用这个属性。

userPassword 在用户条目中包含用户密码的属性名。如果指定了这个值,JNDIRealm使用connectionName和connectionPassword属性指定的值绑定到目录,取出对应的属性,与被认证的用户给出的值进行比较。如果不指定这个值,JNDIRealm会尝试使用用户条目的唯一名称和用户给出的密码绑定到目录,如果绑定成功,说明认证成功。

userPattern 用户目录条目的唯一名称的模式,{0}代表实际的用户名。在唯一名称包含用户名,其他的项都相同的时候,可以使用这个属性,而不是使用userSearch,userSubtree和userBase.

userRoleName 用户目录条目中的一个属性名,该属性包含了零个或多个指定给用户的角色名的值。另外,如果角色以单独的条目存在,可以使用roleName属性来指定属性名,在搜索目录的时候,可以得到这个属性。
如果不指定userRoleName,用户的所有角色通过角色搜索得到;

userSearch 搜索用户目录条目时,使用的LDAP过滤表达式,{0}代表实际的用户名,可以使用userSearch,userBase和userSubtree属性一起来代替userPattern搜索目录。

userSubtree 如果希望搜索由userBase属性指定的元素的整个子树,设为true,缺省值为false,即只搜索顶级元素。如果使用userPattern表达式,不使用这个属性。

5、JAASRealm
Java Authentication Authorization Service(JAAS,Java验证和授权API)提供了灵活和可伸缩的机制来保证客户端或服务器端的Java程序。JAAS是一个比较新的的Java API。在J2SE 1.3中,它是一个扩展包;在J2SE 1.4中变成了一个核心包。通过实现以下两个接口:javax.security.auth.spi.LoginModule 和javax.security.Principal,你可以实现自己的安全机制。

配置的步骤:
a、实现自己的LoginMode、User和Role的类。
b、尽管不是JAAS要求,但你应该通过javax.security.Principal这个接口实现一个单独的类来区别users和roles,这样tomcat就能区分哪个Principals是users和roles返回。
C、设置login.config文件告诉tomcat去哪里找指定的JVM。
D、配置web.xml文件,和前面的配置一样。
E、在server.xml文件中加入<Realm>元素。
--------my.MyLoginModule.java---------------
package my;
import java.util.Map;
import java.security.Principal;
import javax.security.auth.login.LoginContext;
import javax.security.auth.Subject;
import javax.security.auth.callback.*;
import javax.security.auth.login.*;
import javax.security.auth.spi.LoginModule;
import java.io.IOException;
public class MyLoginModule implements LoginModule {
protected CallbackHandler callbackHandler = null;
protected boolean committed = false;
protected boolean debug = false;
protected Map options = null;
protected Principal principal = null;
protected Map sharedState = null;
protected Subject subject = null;
protected void log(String message) {
System.out.print("MyLoginModule: ");
System.out.println(message);
}
public boolean abort() throws LoginException {
log("abort"); 
return (true);
}
public boolean commit() throws LoginException {
log("commit phase");
// If authentication was not successful, just return false
if (principal == null){
log("no principal commit fails");
return (false);
}
if (!subject.getPrincipals().contains(principal))
subject.getPrincipals().add(principal);
// add role principals
subject.getPrincipals().add(new MyRolePrincipal("admin"));
committed = true;
log("commit succesful");
return (true);
}
public void initialize(Subject subject, CallbackHandler callbackHandler,
Map sharedState, Map options) {
// Save configuration values
this.subject = subject;
this.callbackHandler = callbackHandler;
this.sharedState = sharedState;
this.options = options;
}
public boolean login() throws LoginException {
log("login phase");
// Set up our CallbackHandler requests
if (callbackHandler == null)
throw new LoginException("No CallbackHandler specified");
Callback callbacks[] = new Callback[2];
callbacks[0] = new NameCallback("Username: ");
callbacks[1] = new PasswordCallback("Password: ", false);
// Interact with the user to retrieve the username and password
String username = null;
String password = null;
try {
callbackHandler.handle(callbacks);
username = ((NameCallback) callbacks[0]).getName();
password =
new String(((PasswordCallback) callbacks[1]).getPassword());
} catch (IOException e) {
throw new LoginException(e.toString());
} catch (UnsupportedCallbackException e) {
throw new LoginException(e.toString());
}
if (!authenticate(username,password))
return false;
principal = new MyPrincipal(username);
return true;
}
public boolean logout() throws LoginException {
subject.getPrincipals().remove(principal);
committed = false;
principal = null;
return (true);

}
boolean authenticate(String s,String p){
return (s.compareTo("jaas") == 0) && (p.compareTo("jaas") == 0); 
}

static public void main(String args[]) throws Exception{
LoginContext ctx = new LoginContext("TomCatAdminApplication");
ctx.login();

}

}
------------------------------------------------
---------my/MyPrincipal.java-------------------
package my;
public class MyPrincipal implements java.security.Principal {
String m_Name = new String("");
public MyPrincipal(String name) {
m_Name = name;
}
public boolean equals(Object another) {
try {
MyPrincipal pm = (MyPrincipal)another;
return pm.m_Name.equalsIgnoreCase(m_Name);
} catch(Exception e){
return false; 
}
}
public String getName() {
return m_Name;
}
public int hashCode() {
return m_Name.hashCode();
}
public String toString() {
return m_Name;
}
}
------my/MyRolePrincipal.java-------------
package my;

public class MyRolePrincipal extends MyPrincipal {

public MyRolePrincipal(String s) {
super(s);
}
}
--------------------------------------
在 server.xml中配置
<Context ..Tomcat Administration..>
<Realm className="org.apache.catalina.realm.JAASRealm" debug="3" appName="TomCatAdminApplication" userClassNames="my.MyPrincipal" roleClassNames="my.MyRolePrincipal">
</Realm>
</Context>

trace: http://blog.sina.com.cn/s/blog_448cc99c01009on8.html

 

samgu3663
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tomcat 用户认证--
08-16
tomcat 用户认证-- 如何配置
Tomcat安全的实现
JustDoMyself
04-29 246
 Web安全:Servlet规范中定义了Web安全的概念,用于限制用户对Web资源的访问。所有基于Servlet规范设计的Web服务器都提供了相应的实现。用户无需去写任何程序代码,只需在Web服务器中进行安全的配置就可以实现对Web应用中的资源进行安全约束。 一、安全的实现过程 在web应用中配置一个安全的过程分为如下两个步骤: 1、在web.xml中配置web资源的安全约束,并定...
TOMCAT安全(一)
zgqtxwd的专栏
04-25 360
<!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--><script type="text/javascript"
Javaweb四大作用详解
c17315377559的博客
09-24 4067
【1】ServletContext --- application ServletContext代表整个web应用的对象。 生命周期:web应用被tomcat服务器加载时,ServletContext对象产生,生命周期开始。 web应用被移除容器或者tomcat服务器关闭的时候,ServletContext对象销毁,生命周期结束。 作用范围:整个web应用。 主要功能:在整个web应...
java web 四大_javaweb中的四个
weixin_30533109的博客
02-24 548
一、ServletContext对象(Context)1.服务器启动的时候,会为每一个webapp创建一个对应的ServletContext对象,他代表该webapp,当服务器停止或将webapp从服务器中移除的时候,就会销毁对应的ServletContext对象2.查阅ServletContext对象的相关API,很重要3.获取ServletContext对象的方法a.this.getServ...
apache-tomcat-6.0.48
03-29
按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全管理和Tomcat阀等。由于Tomcat本身也内含了一个HTTP...
tomcat 8.5
07-18
Tomcat 是由 Apache 开发的一个 Servlet 容器,实现了对 Servlet 和 JSP 的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全管理和Tomcat阀等。 由于 Tomcat 本身也内含了一个 HTTP ...
tomcat8.5.23
01-19
Tomcat 是由 Apache 开发的一个 Servlet 容器,实现了对 Servlet 和 JSP 的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全管理和Tomcat阀等。 由于 Tomcat 本身也内含了一个 HTTP ...
tomcatjar.zip
最新发布
06-25
总的来说,这个压缩包提供的内容可以帮助开发者轻松地在Tomcat服务器上实现跨资源共享(CORS),从而让不同源的Web应用能够安全地交换数据。正确配置和使用这些文件将极大地扩展Web应用的互操作性。
配置tomcatjdbc安全
weixin_34309435的博客
07-14 112
一:什么是jdbc安全? 我的理解是:验证信息(角色、用户名和密码)通过jdbc桥梁到数据库中去匹配,如果验证信息正确,则让用户访问到受保护的页面、信息等! 二:实现步骤如下:---注:本文是将tomcat管理员的角色信息存储到数据库中,进行验证! 1:数据库采用sqlserver2005 2:创建数据库名为: zltomcat 3:创建二张...
tomcat安全设置
renxiaojun_6635的专栏
05-20 1436
<!--google_ad_client = "pub-1562501196462844";google_ad_width = 300;google_ad_height = 250;google_ad_format = "300x250_as";google_ad_type = "text_image";google_ad_channel = "6926205886
Tomcat的配置文件server.xml 中各个的说明
huihui870311的专栏
06-21 280
元素 它代表整个容器,是Tomcat实例的顶层元素.由org.apache.catalina.Server接口来定义.它包含一个元素.并且它不能做为任何元素的子元素. 1>className指定实现org.apache.catalina.Server接口的类.默认值为org.apache.catalina.core.StandardServer 2>port指定Tomcat监听shutd
Tomcat安全实现细节分析
Tomcat那些事儿
09-21 287
高强同学的安全实现分析文章,文章比较长,都是认真分析总结的干货,读完本文能让你清楚了解在 Tomcat 中是如何实现安全并进行认证授权的 。以下为正文。一、简介为了实现 Servle...
教你单个Tomcat配置多个并配置多个证书
liangdiwei的专栏
12-23 983
近期,帮一个友人配备一台服务器,在该服务器上起动一个Tomcat运作两个运用,诀别对应两个名: www.domain一.com 和 www.domain二.cn ,至于http协议(80端口),只要配备Tomcat的虚拟主机就可以了。但友人为了数据的安全性,分别为每个名购置了一个CA证件。这快要求在一个Tomcat上配备两个证件。在网上搜了许久,没见有雷同的案例。只查到有人说了两办法:1、两
Tomcat配置名访问
wqqqianqian的博客
07-01 5231
1、打开Tomcat安装目录下的/conf/server.xml文件 2、在server.xml中将原有的<Host name=“localhost“ appBase=“webapps“ ……>修改为<Host name=“www.test.cn“ appBase=“webapps“……>,name后面可以填IP也可以是名。 3、最终我们要在本地访问名,因无名解析服务器,所以在hosts上配,来模拟dns解析。还得修改相关HOST文件。。打开C:/WINDOWS/syste
tomcat配置
qq_41589998的博客
02-22 1843
首先,访问服务器时默认的是80端口,这个好改,tomcat中的server.xml文件直接修改,这里要说明的是如果一个服务器上有多个tomcat的话,修改端口需要注意的是要修改 三个地方的   第一处是 &lt;Server port="8085" shutdown="SHUTDOWN"&gt; 第二处是  &lt;Connector connectionTimeout="20000"...
Tomcat 容器的安全认证和鉴权
weixin_30466953的博客
05-20 398
大量的 Web 应用都有安全相关的需求,正因如此,Servlet 规范建议容器要有满足这些需求的机制和基础设施,所以容器要对以下安全特性予以支持: 身份验证:验证授权用户的用户名和密码 资源访问控制:限制某些资源只允许部分用户访问 数据完整性:能够证明数据在传输过程中未被第三方修改 机密性或数据隐私:传输加密(SSL),确保信息只能被信任用户访问 本文就以上问题,对 Tomcat 容器提供的认...
配置Tomcat 安全
lcgg110的专栏
05-26 252
3 设置tomcat安全 可以直接修改 /$CATALINA_HOME/conf/tomcat-users.xml文件来设置安全, 修改后的文件如下:为了不和tomcat已有的用户冲突,这里把 tomcat以前的登陆帐号username="admin"  修改为username="tadmin" . &lt;?xml version='1.0' encoding='utf-8'?&gt;&lt...
tomcat之server.xml列表
Eric.Jonah!
09-14 2024
- Server port="8005" shutdown="SHUTDOWN" debug="0">  Listener className="org.apache.catalina.mbeans.ServerLifecycleListener" debug="0" />   Listener className="org.apache.catalina.mbeans.G
Tomcat下J2EE同跨项目Session共享详解与代码示例
在J2EE环境中,特别是在使用Tomcat作为应用服务器的情况下,跨项目间的session共享是一项常见的需求,尤其是在一个Tomcat实例下运行多个Web...通过这方式,可以在保持安全性的同时,提供了一有效的数据共享方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值