深入tomcat验证机制

最新推荐文章于 2023-10-11 11:41:31 发布
最新推荐文章于 2023-10-11 11:41:31 发布
阅读量1.7k 收藏
点赞数 1
分类专栏: Java 文章标签: tomcat 安全 security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/soliddream66/article/details/43565575
版权

背景

<<Head First Servlets & JSP>>安全一章介绍了tomcat内建的验证机制.

 

首先介绍术语realm.

As far as theservlet

spec is concerned, arealm is a place where authentication information is stored. When you’retesting your application in Tomcat, you can use a file called“tomcat-users.xml” (located in

tomcat’sconf/directory, NOT within webapps). That one “tomcat-users.xml” file appliesto ALL

applicationsdeployed under web-apps. It’s commonly known as the memory realm because Tomcat reads this file into memory at startuptime. While it’s great for testing, it’s not recommended for production. Forone thing you can’t modify its contents without restarting Tomcat.

 

The tomcat-users.xml file

用户名,密码以及角色存储于/conf/tomcat-users.xml文件.这里不详细介绍.

<rolerolename="Admin"/>

<rolerolename="Member"/>

<rolerolename="Guest"/>

<userusername="Annie" password="admin"roles="Admin,Member,Guest" />

<userusername="Diane" password="coder"roles="Member,Guest" />

<userusername="Ted" password="newbie" roles="Guest"/>

 

Tomcat厂商指定角色映射

<security-role><role-name>Admin</role-name></security-role>

<security-role><role-name>Member</role-name></security-role>

<security-role><role-name>Guest</role-name></security-role>

 

Enabling authentication

web.xml文件

<login-config>

<auth-method>BASIC</auth-method>

</login-config>

注意:验证方法包括BASIC,DIGEST,CLIENT-CERT以及FORM.表单验证时,action填写j_security_check,用户名name填写j_username,密码name填写j_password,即能自动使用tomcat-users文件中的数据验证.

 

Defining resource/method constraints

<security-constraint>element in the DD.

 

<security-constraint>

<web-resource-collection>

<web-resource-name>newconference</web-resource-name>

<url-pattern>/createConference</url-pattern>

<url-pattern>/createConference.do</url-pattern>

<http-method>GET</http-method>

<http-method>POST</http-method>

</web-resource-collection>

<web-resource-collection>

<web-resource-name>newschedule</web-resource-name>

<url-pattern>/newSchedule</url-pattern>                        

<http-method>GET</http-method>

<http-method>POST</http-method>

</web-resource-collection>

<web-resource-collection>

<web-resource-name>accountmanagement</web-resource-name>

<url-pattern>/editPassword</url-pattern>

<url-pattern>/editPassword.do</url-pattern>

<http-method>GET</http-method>

<http-method>POST</http-method>

</web-resource-collection>

<auth-constraint>

<role-name>Admin</role-name>                        

</auth-constraint>

<!-- 

<user-data-constraint>

<transport-guarantee>CONFIDENTIAL</transport-guarantee>

</user-data-constraint>

-->

</security-constraint>

当你访问安全约束中指定的页面时,就会弹出或跳转至登录页面,用户登录之后并满足指定角色才能访问页面.使用很简单,那么tomcat验证机制是如何实现的呢?tomcat验证机制能满足我们实际所需吗?参考Apache Tomcat文档以及Apache Tomcat源代码.

 

tomcat验证机制如何实现

 

Configuration a Realm

参考Apache Tomcat 官方文档Realm Configuration HOW-TO.

In general, you willbe adding an XML element to your conf/server.xml configuration file, that lookssomething like this:

     

      <!-- ThisRealm uses the UserDatabase configured in the global JNDI

           resources under the key"UserDatabase".  Any edits

           that are performed against thisUserDatabase are immediately

           available for use by the Realm.  -->

      <RealmclassName="org.apache.catalina.realm.UserDatabaseRealm"

            resourceName="UserDatabase"/>

这儿配置UserDatabaseRealm.接下来看看UserDatabase资源配置

 

  <!-- Global JNDI resources

       Documentation at/docs/jndi-resources-howto.html

  -->

  <GlobalNamingResources>

    <!-- Editable user database that canalso be used by

         UserDatabaseRealm to authenticateusers

    -->

    <Resource name="UserDatabase"auth="Container"

             type="org.apache.catalina.UserDatabase"

              description="User databasethat can be updated and saved"

             factory="org.apache.catalina.users.MemoryUserDatabaseFactory"

             pathname="conf/tomcat-users.xml" />

  </GlobalNamingResources>

 

配置中涉及到org.apache.catalina.realm.UserDatabaseRealm,org.apache.catalina.UserDatabase,org.apache.catalina.users.MemoryUserDatabaseFactory这三个类,应该是用于实现tomcat验证机制.

 

查阅JavaDoc相关类.

UserDatabaseRealm有个成员

     /**

     * The<code>UserDatabase</code> we will use to authenticate users

     * and identify associated roles.

     */

UserDatabase database;

 

MemoryUserDatabaseFactory

Createand return a new MemoryUserDatabase instancethat has been configured according to the properties of the specified Reference. If you instance can be created, return nullinstead.

 

MemoryUserDatabase

Concreteimplementation of UserDatabase that loads all defined users, groups, and rolesinto an in-memory data structure, and uses a specified XML file for itspersistent storage. 

 

至于相关的各种验证方法见包org.apache.catalina.authenticator,比如表单验证方法即FormAuthenticator.

 

public booleanauthenticate(Request request,

                                Responseresponse,

                                LoginConfigconfig)

 

代码块

      Realm realm =context.getRealm();

        if (characterEncoding != null) {

           request.setCharacterEncoding(characterEncoding);

        }

        String username =request.getParameter(Constants.FORM_USERNAME);

        String password =request.getParameter(Constants.FORM_PASSWORD);

        if (log.isDebugEnabled())

            log.debug("Authenticatingusername '" + username + "'");

        principal =realm.authenticate(username, password);

        if (principal == null) {

//用户名或密码错误

            forwardToErrorPage(request,response, config);

            return (false);

        }

 

 

RealmBase

 

    /**

     * Return the Principal associated with thespecified username and

     * credentials, if there is one; otherwisereturn <code>null</code>.

     *

     * @param username Username of thePrincipal to look up

     * @param credentials Password or othercredentials to use in

     * authenticating this username

     */

    public Principal authenticate(Stringusername, String credentials) {

 

        String serverCredentials =getPassword(username);

 

        boolean validated ;

        if ( serverCredentials == null ) {

            validated = false;

        } else if(hasMessageDigest()) {

            validated =serverCredentials.equalsIgnoreCase(digest(credentials));

        } else {

            validated =serverCredentials.equals(credentials);

        }

        if(! validated ) {

            if (containerLog.isTraceEnabled()){

               containerLog.trace(sm.getString("realmBase.authenticateFailure",

                                               username));

            }

            return null;

        }

        if (containerLog.isTraceEnabled()) {

           containerLog.trace(sm.getString("realmBase.authenticateSuccess",

                                           username));

        }

 

        return getPrincipal(username);

    }

 

tomcat验证机制能满足实际所需吗

 

使用数据库

mysql为例.

 

To set up Tomcat touse JDBCRealm, you will need to follow these steps:

 

  1. If you have not yet done so, create tables and columns in your database that conform to the requirements described above.
  1. Configure a database username and password for use by Tomcat, that has at least read only access to the tables described above. (Tomcat will never attempt to write to these tables.)
  1. Place a copy of the JDBC driver you will be using inside the $CATALINA_HOME/lib directory. Note that only JAR files are recognized!
  1. Set up a <Realm> element, as described below, in your $CATALINA_BASE/conf/server.xml file.
  2. Restart Tomcat if it is already running.

 

realm配置使用JDBCRealm.

<Resourcename="jdbc/conference" auth="Container"

type="javax.sql.DataSource" username="root"password="root"

driverClassName="com.mysql.jdbc.Driver"url="jdbc:mysql://127.0.0.1:3306/conference?useUnicode=true&amp;characterEncoding=utf8"

maxTotal="8"maxIdle="4" />

<RealmclassName="org.apache.catalina.realm.JDBCRealm"

driverName="org.gjt.mm.mysql.Driver"

connectionURL="jdbc:mysql://127.0.0.1:3306/conference?user=root&amp;password=root"

userTable="users"userNameCol="user_name" userCredCol="user_pass"

userRoleTable="user_roles"roleNameCol="role_name" />

 

mysql数据库中建表

create table users (

  user_name         varchar(15) not null primary key,

  user_pass         varchar(15) not null

);

 

create tableuser_roles (

  user_name         varchar(15) not null,

  role_name         varchar(15) not null,

  primary key (user_name, role_name)

);

 

jdbc driver for mysql放入tomcatlib目录下

比如当前最新的文件mysql-connector-java-5.1.34-bin.jar.

 

 

A typical use of this resource reference might looklike this:

参考Apache tomcat文档JNDI Resources HOW-TO: JDBC DataSources.

Context initCtx =new InitialContext();

Context envCtx =(Context) initCtx.lookup("java:comp/env");

DataSource ds =(DataSource)

  envCtx.lookup("jdbc/conference");

 

Connection conn =ds.getConnection();

... use thisconnection to access the database ...

conn.close();

 

获取验证用户角色以及用户名

HttpServletRequest

  • getUserPrincipal
  • getRemoteUser
  • isUserInRole

 

以获取用户名为例

Principal principal= request.getUserPrincipal();

System.out.println(principal.getName());

soliddream66
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Tomcat和Spring中的事件机制深入讲解
08-26
主要给大家介绍了关于Tomcat和Spring中事件机制的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起看看吧
Tomcat使用的组件-Digester组件
qiqijava的专栏
12-09 1853
创建日期:2003.5.9基本部分:2003.5.15应用部分:2003.5.18 一、概述Digester组件用于XML文档到JAVA对象的映射处理。 对于构建可配置的软件系统和构建框架式软件平台有特别有用的帮助,这个技能目前国内比较不重视,因此这个组件对于国内有特别重要的意义。Digester的基本处理流程如下:XML文档读取-〉系统处理模块(调用Digest
【原】HTTP 验证 Tomcat中进行基本验证 (Basic Authentication) 和摘要验证 (Digest Authentication)...
我是程序员,为了最后的阵地
09-11 480
HTTP 验证HTTP 协议提供验证机制来保护资源。当一个请求要求取得受保护的资源时,网页服务器回应一个 401 Unauthorized error 错误码。这个回应包含一个指定了验证方法和领域的 WWW-Authenticate 头信息。把这个领域想像成一个存储着用户名和密码的数据库,它将被用来标识受保护资源的有效的用户。比如,你试着去访问某个网站上标识为“Personal Files”的资...
Tomcat组件梳理—Digester的使用
weixin_34166472的博客
06-24 457
Tomcat组件梳理—Digester的使用 再吐槽一下,本来以为可以不用再开一个篇章来梳理Digester了,但是发现在研究Service的创建时,还是对Digester的很多接口或者机制不熟悉,简直搞不懂。想想还是算了,再回头一下,把这个也给梳理了。所以此文主要做两件事情, 1.梳理Digester的设计思想和常用接口。 2.梳理Digester对server.xml文件的解析。这么看也算是...
HTTP 验证 Tomcat中进行基本验证 (Basic Authentication) 和摘要验证 (Digest Authentication)
王孙小蛮的自留地
07-22 863
传送门:http://blog.csdn.net/renminzdb/article/details/42422141
记一次Digest Authentication使用问题查找(Tomcat8.0升级到Tomcat9.0)
zzz3112362088的博客
05-29 1200
这次说一说Disgest Authentication遇到的坑 公司有个项目客户端访问流程需要经过Disgest Authentication,由于公司之前部署该项目在Tomcat8.0;于是本人满怀信心的将tomcat升级(->Tomcat8.5->Tomcat9.0), 结果发现客户端第一次访问接口401后,第二次访问还是401。 按之前正常流程应该是第一次访问接口返回401...
深入剖析Tomcat中文版
05-24
该书籍主要以Tomcat4为讲解的基础,通过对Tomcat4的架构及底层进行分析,简单易懂的学习如何构建自己的Servlet WEB服务器
深入剖析Tomcat .rar
07-04
了解Tomcat架构原理
Tomcat中session的管理机制
09-01
主要为大家详细介绍了Tomcat中session的管理机制 ,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Tomcat安全验证机制
06-06
asdfasdfasdfafadsfasdfsdfasdfsadfasdfsdf
tomcat源码解读一 Digester的解析方式
jack_Zheng的博客
11-13 1364
1    Digester Digester在tomcat中的作用是对conf下的server.xml文件进行实例化,其是从Catalian这个组件开始,创建Digester实例,再添加对应的规则,然后将其实例化,通过setServer方法,将其实例话的对象作为当前Catalian实例的句柄。这样就实现了对象句柄之间的关联引用,从而实现整个平台的递进启动。   1.1    UML类图
http协议之digest(摘要)认证,详细讲解并附Java SpringBoot源码
一火的专栏
12-04 5493
http协议之digest(摘要)认证,详细讲解并附Java SpringBoot源码
tomcat解析(十八)对客户请求的处理2
holly2k的专栏
02-09 1798
当我们在web.xml里配置了对系统资源访问的保护后,每次客户端发起访问都需要经过AuthenticatorBase及其子类的校验,大多共用的处理放在AuthenticatorBase中,其它独立于各种校验方式的处理放于其子类中,让我们先看一下AuthenticatorBase中做了哪些事情 校验当前用户是否已经经过了校验,并且我们已将其校验通过的通行证明放到了该用户的Session中.
tomcat页面设置访问权限(BASIC认证)
aijia131416的博客
12-19 170
在web应用中,对页面的访问控制通常通过程序来控制,流程为:登录->设置session ->访问受限页面时检查session是否存在,如果不存在,禁止访问 对于较小型的web应用,可以通过tomcat内置的访问控制机制来实现权限控制。采用这种机制的好处是,程序中无需进行权限控制,完全通过对tomcat的配置即可完成访问控制。 为了在tomcat页面设置访问权限控制,...
tomcat配置文件解析
最新发布
weixin_42565095的博客
10-11 105
connector:用于处理连接和并发,通常包括两种方式HTTP和AJP。Connector接收请求,Engine处理请求。service:这是一种抽象的服务,通常是在日志或者管理时使用这样一个概念。综上所述,由于tomcat的结构性原因,导致创建基于端口的虚机主机和基于域名的虚机主机要使用两种不同的方式。host:虚拟主机,用于进行请求的映射处理。server:即服务器,每个tomcat程序启动后,就是一个server。engine:处理引擎,所有的请求都是通过处理引擎处理的。
Tomcat容器管理安全的几种验证方式
zzy7075的专栏
12-14 4915
https://my.oschina.net/itblog/blog/678845?fromerr=mnnjJA0O 摘要: 本文介绍如何使用容器(这里指tomcat)来进行安全管理。 当访问服务器中受保护的资源时,容器管理的验证方法可以控制确认用户身份的方式。Tomcat支持四种容器管理的安全防护,它们是: BASIC(基本验证):通过HTTP验证,需要提供base6
Tomcat SSL 配置
一笑一疯癫的博客
07-13 237
Using JDK 7 and Tomcat 7, similar to other versions. Step: 1. 用Java去创建一个keystore文件,执行 keytool genkey - alias tomcat - keyalg RSA. 因此在用户主目录,创建了一个keystore文件。 C:\Users\calvin.yang>k
Tomcat源码解析(五):安全性控制
进击吧!!
07-12 627
Tomcat源码:安全性控制Tomcat安全性控制流程包括哪几个部分?Authenticatorhttp有几种身份认证方式,包括Basic认证、摘要认证等。其中基本认证,是把用户名和密码用BASE64加密,在request中传给服务端,这样服务端就可以确定用户的身份了。主要校验流程如下:public boolean authenticate(HttpRequest request,
Tomcat配置SSL证书
热门推荐
个人学习笔记库,一篇一篇记录成长的足迹
07-30 1万+
本地即服务器以tomcat作为服务器的ssl证书配置,开放https安全访问。
tomcat反射机制
09-08
Tomcat中,反射机制常用于以下几个方面: 1. 动态加载和实例化类:Tomcat可以根据类名动态加载并实例化Java类,这对于像Servlet和过滤器这样的组件非常有用。 2. 调用对象的方法:通过反射,Tomcat可以在运行时...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值