为了保证WEB应用的安全性,通常需要对客户端进行认证,常用的安全验证方式有: BASIC(基本认证), FORM(基于表单的认证), DIGEST(消息摘要认证), CLIENT-CERT(数字证书认证)等几种方法。
其中BASIC认证是一种基于角色用户的简单的实现身份验证的方式,当用户访问受限的资源时,使用基本认证的服务器会要求浏览器弹出一个对话框,并且要求用户输入用户名和密码。只有用户输入了正确的认证信息,用户才能访问到这些资源,否则在尝试三次失败之后,将显示一个认证错误页面。 这种认证方式的缺点在于用户名和密码使用Base64编码进行传输,并不是非常安全。
最近在看一些SSI的相关资料,并自己做了一个SSI的简单Demo, 现在需要对这个Demo配置简单身份认证,主要步骤如下:
- 确定有访问权限的角色和用户,假定现在有SSI Demo访问权限的角色是ssiadmin, 这个角色下有两个用户:Leo和 Julian。 进入${JBOSS_HOME}/server/default/conf/ 目录,新增ssi_roles.properties 和ssi_users.properties 两个文件. 在ssi_roles.properties 中增加 Leo=ssiadmin, Julian=ssiadmin(Leo, Julian属于ssiadmin角色) ,在 ssi_users.properties中增加Leo=Password 和Julian=Password两行(前面表示用户名,后面的Password表示密码)。
- 修改应用的web.xml,在增加如下内容:
<security-constraint> <display-name>ssi admin only</display-name> <web-resource-collection> <web-resource-name>ssi</web-resource-name> <url-pattern>*.shtml</url-pattern> </web-resource-collection> </security-constraint> <login-config> <auth-method>BASIC</auth-method> </login-config> <security-role> <role-name>ssiadmin</role-name> </security-role>
- 将web应用添加到安全域中,在这里安全域被定义为ssidomain;
<?xml version="1.0" encoding="UTF-8"?> <jboss-web> <security-domain>java:/jaas/ssidomain</security-domain> </jboss-web>
- 修改${JBOSS_HOME}/server/default/conf/login-config.xml,增加如下配置,主要用于获取验证数据;
<application-policy name="ssidomain"> <authentication> <login-module code="org.jboss.security.auth.spi.UsersRolesLoginModule" flag="required"> <module-option name="usersProperties">props/ssi-users.properties</module-option> <module-option name="rolesProperties">props/ssi-roles.properties</module-option> </login-module> </authentication>
- 重启JBoss服务器,输入相应的地址就可以看到浏览器弹出对话框要求输入用户名密码了。