【JBoss】5. 保护Web应用程序

最新推荐文章于 2022-08-08 13:47:51 发布
最新推荐文章于 2022-08-08 13:47:51 发布
阅读量1.3k 收藏
点赞数
分类专栏: 【JBoss】 文章标签: JBoss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vking_wang/article/details/8920927
版权

配置Web安全


web.xml

如下例,注意注释部分:


  <!-- A security constraint that restricts access to the -->
  <!-- 	Archive Web Administration pages to users with the role WebAdmin. -->
   <security-constraint>
    <!--需要保护的资源-->
    <web-resource-collection>
       <web-resource-name>dispatcher</web-resource-name>
       <description>Only allows users with the role WebAdmin
                  to access the Archive Web Administration pages
       </description>
       <!--1、要保护哪些URL-->
       <url-pattern>*.jsp</url-pattern>
       <url-pattern>*.js</url-pattern>
       <url-pattern>*.m</url-pattern>
       <url-pattern>*.xsl</url-pattern>
       <url-pattern>*/?*/*</url-pattern>
       <!--2、要保护的URL的HTTP方法-->
       <http-method>GET</http-method>
       <http-method>POST</http-method>
     </web-resource-collection>

     <!--3、哪些角色被授权访问这些URL-->
     <auth-constraint>
       <role-name>WebAdmin</role-name>
     </auth-constraint>
     
     <!--4、指定进入应用程序的请求是否被加密(与server.xml中指定的连接器redirectPort配置使用,一般转发给https连接器)-->
     <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
     </user-data-constraint>
   </security-constraint>

   <!--5、指定身份验证策略:本例基于表单的身份验证-->
   <login-config>
      <auth-method>FORM</auth-method>
      <realm-name>Archive Web Admin</realm-name>
      <form-login-config>
	      <form-login-page>login.jsp</form-login-page>
	      <form-error-page>error.jsp</form-error-page>
	  </form-login-config>
   </login-config>

   <!--可选角色的定义-->
   <security-role>
      <role-name>WebUser</role-name>
   </security-role>
   <security-role>
      <role-name>WebAdmin</role-name>
   </security-role>
</web-app>


jboss-web.xml

将一个应用程序映射到安全域中;安全域在login-config.xml中定义。


jboss-web.xml

<jboss-web>
   <!-- Uncomment the security-domain to enable security. You will
      need to edit the htmladaptor login configuration to setup the
      login modules used to authentication users.
   -->
      <security-domain>java:/jaas/ddd</security-domain>
</jboss-web>

login-config.xml

<application-policy name="ddd">
  <authentication>
    <login-module code="com.alpha.security.authentication.TokenLoginModule" flag="required">
      <module-option name="roles">JBossAdmin,WebAdmin,WebUser</module-option>
    </login-module>
    <login-module code="com.alpha.audit.AuditLoginModule" flag="optional"/>
  </authentication>
</application-policy>

server.xml

配置Connector、Realm

参考http://blog.csdn.net/vking_wang/article/details/8895067


验证用户

验证用户的流程如下图所示:



可以用多种方式在应用程序中对用户进行身份验证,JBoss可在web.xml中定义<login-config><auth-method>,采用如下几种身份验证策略


基本身份验证

是HTTP规范一部分的一个挑战-响应协议。

当用户请求一个安全URL时,容器会确定用户是否登录,如果没有登录,则将一个HTTP 401消息发回浏览器来要求用户提供证书;

这个消息导致浏览器显示一个对话框提示用户输入密码;

浏览器再将密码发送回容器,以便安全框架进行身份验证。


注意,浏览器发送的密码并未进行加密。故这种验证策略一般和HTTPS一起使用。


基于表单的身份验证

最常用的验证策略,见本文最上方的web.xml。

   <!--5、指定身份验证策略:本例基于表单的身份验证-->  
   <login-config>  
      <auth-method>FORM</auth-method>  
      <realm-name>Archive Web Admin</realm-name>  
      <form-login-config>  
          <form-login-page>login.jsp</form-login-page>  
          <form-error-page>error.jsp</form-error-page>  
      </form-login-config>  
   </login-config>


在login.jsp中的表单如下:

<form name="login" method="POST" action="j_security_check">
<table>
	<tr valign="middle">
	  <td><div class="text">Name:</div></td>
	  <td><input class="textfield" type="text" name="j_username" value=""/></td>
	</tr>
	<tr valign="middle">
	  <td><div class="text">Password:</div></td>
	  <td><input class="textfield" type="password" name="j_password" value=""/></td>
	</tr>
	<tr><td> </td></tr>
	<tr valign="middle">
	  <td> </td>
	  <td align="center"><input class="button" type="submit" value="Log in"></td>
	</tr>
</table>
</center>
</form>

注意action = j_security_check

       name=j_username

       name=j_password


摘要式身份验证

与基本身份验证一样,也是一个挑战-响应身份验证方案,不过密码不会明文发送,采用MD5加密。

那究竟什么是摘要式身份验证呢?——还没搞太清楚。。。












AlphaWang
关注
专栏目录
如何保护Web应用程序免受恶意代码攻击
程序员光剑
07-21 2608
作者:禅与计算机程序设计艺术 恶意代码攻击 一般来说,恶意代码攻击(malicious code attack)可以分为三类,即基于结构、基于行为和基于价值的攻击。基于结构的攻击通常通过构造恶意的代码来破坏服务器的正常运行,包括后门病毒、垃圾邮件和木马等;基于行为的攻击则通过对网站用户进行诱导、强
Web应用程序安全防护
jkqa_123的专栏
09-06 1870
 在网上读到一篇文章《Web应用程序引起了大量的攻击》http://searchsecurity.techtarget.com.cn/securitynews/490/2493990.shtml?BLK=050001&NODE=1005后决定学习一下Web应用程序安全防护,以下是我的一些总结:Web应用程序安全问题主要为:                                
如何保护Web应用程序
03-26 1086
虽然安全性是所有应用程序都需关心的方面,但是它对于Web应用程序组件尤为重要。不安全的Web应用程序使Web站点易受多种攻击,而且有些攻击仅仅需要一个Internet浏览器和少量相关知识即可。  Java 2 Enterprise Edition(J2EE)提供许多安全功能。了解何时以及如何使用这些功能是一件复杂的工作,而且易于出错。此外,J2EE的安全性无法满足许多Web应用程序开发人员的需
保护您的 Web 应用程序的最佳开源 Web 应用程序防火墙
allway2的博客
08-08 1658
WAF 意思是 Web Application Firewall:它是一个用于过滤来自 Internet 的 HTTP 请求的防火墙。ModSecurity 有一个用于商业用途的许可版本,而 IronBee 对于各种规模的操作都是完全免费的。Lua-resty-waf 是一个高性能的开源、免费的 Web 应用防火墙。但是,如果您具有 Internet Security 的知识和经验,那么您可以从任何开源 WAF 中创建强大的 WAF。有许多免费的 WAF 可以免费保护您的 Web 应用程序。...
Spring认证指南:了解如何使用 Spring Security 保护您的 Web 应用程序
IT胶囊
03-07 446
原标题:Spring认证指南:了解如何使用 Spring Security 保护您的 Web 应用程序。(Spring中国教育管理中心) 保护 Web 应用程序 本指南将引导您完成使用受 Spring Security 保护的资源创建简单 Web 应用程序的过程。 你将建造什么 您将构建一个 Spring MVC 应用程序,该应用程序使用由固定用户列表支持的登录表单来保护页面。 你需要什么 约15分钟 最喜欢的文本编辑器或 IDE JDK 1.8或更高版本 Gradle 4+或.
jboss应用服务器软件,JBOSS的安装与配置
weixin_29306571的博客
08-01 1111
JBOSS的安装与启动一.安装Step1:下载jboss,本文介绍的安装版本是jboss-4.2.3.GA-jdk6.zip,解压该文件(注意解压路径不要包含空格)Step2:设置环境变量JBOSS_HOME 二.启动服务运行JBoss目录下的bin\run.bat 访问url: http://localhost:8080/ 进入JBoss的欢迎界面 二.停止服务停止JBoss必须执行shutdo...
jboss-4.0.5.GA.zip
10-25
5. **JMS**:JBoss 4.0.5.GA集成了JMS服务,允许应用程序通过消息队列进行异步通信,增强了系统的可扩展性和容错性。 6. **Web容器**:内建Tomcat或Jetty作为HTTP服务器,支持Servlet 2.4和JSP 2.0,提供Web应用的...
jboss-as-web.Final-RECOMPILE.jar.rar
10-26
JBoss AS 7通过其模块化架构实现了热部署,使得开发者可以实时更新Web应用程序,而无需重启服务器。 1. **热部署原理**:在传统的Java应用服务器中,更新部署的Web应用通常需要重启服务器。然而,JBoss AS 7引入了...
Jboss资源.rar
05-26
此外,可以在这个目录下部署新的应用程序或服务,以实现功能扩展。 5. **开发与部署** 开发者可以利用Java EE提供的API和EJB容器来开发企业级应用,然后打包成WAR或EAR文件部署在JBoss上。JBoss支持热部署,即在不...
使用eclipse通过jboss开发简单的ejb应用(jboss7.x & ejb3.x)
08-18
在本文中,我们将深入探讨如何使用Eclipse IDE与JBoss应用程序服务器(版本7.x)来开发和部署一个基于EJB 3.x的简单企业级Java应用程序。EJB(Enterprise JavaBeans)是Java平台上的核心组件,它提供了一种标准的...
Jboss基础.pdf
09-27
- **WAR部署**:对于Web应用程序,可以将WAR文件复制到`standalone/deployments`或`domain/deployments`目录下,服务器会自动检测并部署。 - **EAR部署**:企业级应用可以打包成EAR文件,包含多个EJB模块和Web模块...
Web一些主要的安全防护措施
DavidLiu的博客
05-05 5800
OWASP (安全防护、漏洞验证工具) 开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。 开放式Web应用程序安全项目(OWASP)是一个非营利组织,不附属于任何企业或财团。因此,...
JBoss】4. 配置JBoss Web服务器
Alpha's 学习笔记
05-07 6986
JBoss Web服务器建立在Apache Tomcat 6.0的基础上,结合了Tomcat的多功能性和Apache HTTP服务器的速度。 配置URL路径 针对客户端传来的一个URL(协议 :// 域名 : 端口号 / 上下文路径 / 资源),JBoss Web服务器如何确定调用哪个应用程序? 1、server.xml配置连接器:协议、端口号 配置文件: \
JBoss】1. 微容器、JMX
Alpha's 学习笔记
04-08 2932
JBoss微容器 JBoss之前的版本是围绕JMX内核构建,应用服务器提供的服务 都被写成JMX内核的MBean。 优点:是关系松散的体系结构,增删服务很容易 JBoss4.0.3之后,开始向微容器体系结构转变,应用服务器提供的服务使用简单的POJO 优点:不需要支持JMX,所以相对轻量级 ——但是,目前并非所有服务都已移植到微容器中,JMX内核仍然是定义和创建微容器的一个主
JBoss】2. 应用程序部署
Alpha's 学习笔记
04-08 2251
JBoss中部署应用程序 JBoss使用的是一种插件部署体系结构,独立的部署器负责部署不同类型的应用程序,使得部署体系结构模块化。 应用程序打包 需要部署的应用程序,既可以是存档文件,也可以是已解压的目录。 如果是存档文件,则会在server/xx/tmp/deploy下解压此存档文件。 部署器 部署应用程序的替换机制是使用jboss.system:s
JBoss】3. JBoss SX安全框架
Alpha's 学习笔记
04-19 1665
JBoss SX JBoss使用JBoss SX框架来确保应用程序安全。它建立在Java身份验证和授权服务的顶层(JAAS,Java Authentication and Authorization Service)。 当JBoss接收到请求时,目标应用程序不需要知道基本安全数据库的位置或访问方式; 请求被传递到名为“安全域”的JBoss SX组件中,这是一种用来保护所有对组件的
JBoss】JNDI与JBossNS
Alpha's 学习笔记
06-19 1257
JNDI的作用 JNDI是 Java 命名与目录接口(Java Naming and Directory Interface)。 随着分布式应用的发展,远程访问对象访问成为常用的方法。虽然说通过Socket等编程手段仍然可实现远程通信,但按照模式的理论来说,仍是有其局限性的。RMI技术,RMI-IIOP技术的产生,使远程对象的查找成为了技术焦点。JNDI技术就应运而生。JNDI技术产生
基于java的校园美食交流系统设计与实现.docx
最新发布
09-19
基于java的校园美食交流系统设计与实现.docx
JBoss 5.1.0.GA配置与管理指南
2. **目录结构**:解释JBoss安装目录下的各个子目录及其功能,如`bin`(包含启动和管理脚本)、`server`(存放不同配置的服务器实例)、`deploy`(部署应用程序的地方)等。 3. **配置文件**:详述`standalone.xml`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值