2016年04月_超人汪小建(seaboat)

12月 11月 10月 09月 08月 07月 06月 05月 04月 03月 02月 01月

原创 Web资源认证原理

Web服务器与浏览器之间的认证流程没有规定的步骤，根据不同的认证模式及鉴权方式可能会有不同的执行步骤。下图用一个最简单的流程了解整个认证过程是如何工作的，首先浏览器向服务器发起请求，然后服务器向浏览器质问用户名及密码，浏览器带上用户名及密码重新请求，服务器根据用户名获取相应角色并判断是否有权限访问该资源，最后通过认证后返回受保护资源。在这整个过程中可以分为客户端与服务端交互、服务端权限验

2016-04-26 09:16:36 4234

原创 tomcat的realm域

Realm域，其实可以看成是一个包含了用户及密码的数据库，而且每个用户还会包含了若干角色。也就是包含了用户名、密码、角色三个列的数据记录集合，如下图，最下面椭圆内的包含的整块即可以看成realm域。它的出现是为了方便统一地提供一种X（用户，密码，权限）与Y（web资源）的映射关系。我们有三个web应用的资源及对应资源访问角色，web1应用中url1资源必须拥有role1角色的用户才可以访

2016-04-26 09:13:12 2873

在了解了认证模式及Realm域后，我们看看Tomcat是如何设计实现资源安全管理的。在认证模式上，必须要支持多种认证模式，包括Basic模式、Digest模式、Form模式、Spnego模式、SSL模式及NonLogin模式。如何实现这些认证模式比较优雅，或者说比较清晰？看下图，在tomcat中一个请求从浏览器发送过来后，请求接收后会流向四个级别容器处理，即Engine->Host->Contex

2016-04-26 09:10:04 2655

原创如何让你的web具备权限认证

大多数Web系统都有权限需求，前面已经了解了它的整个认证过程的原理，这节将讲述如何在Tomcat中配置web资源的权限。先以Tomcat默认的认证模式Basic和默认的域UserDatabaseRealm为例，看看如何完成整个配置的。首先，配置server.xml文件，配置一个名为UserDatabase的数据源，它绑定的存储文件为conf/tomcat-users.xml。然后在Realm节点中

2016-04-26 09:05:05 5528

原创认证模式之SSL模式

SSL模式是基于SSL通信的一种认证模式，使用它的前提是浏览器和web服务器之间必须使用https协议，因为它必须走SSL协议通道才能完成认证流程。它的大体流程是这样的：客户端与服务器之间通过SSL协议建立起SSL通道，这个过程比较复杂，涉及到客户端服务端证书互相交互验证，协商通信密钥等过程，细节可以前往SSL章节阅读。完成整个SSL通道建立后才是认证的核心步骤，如下图， ①首先获取客户端证书文件

2016-04-15 18:21:52 6873

原创认证模式之Spnego模式

Spnego模式是一种由微软提出的使用GSS-API接口的认证模式，它扩展了Kerberos协议，在了解Spnego协议之前必须先了解Kerberos协议，Kerberos协议主要解决身份认证及通信密钥协商问题，它大致的工作流程如下： ①客户端根据自己用户名向密钥分发中心KDC的身份认证服务AS请求TGS票证。②AS生成一个TGS票证、查询对应用户的密码，然后通过用户密码将TGS票证加密，响应给客

2016-04-15 18:19:07 9432

原创认证模式之Form模式

上面介绍的两种模式都属于HTTP协议规范范畴，由于它的规范使得很多东西无法自定义，例如登录窗口、错误展示页面。所以需要另外一种模式提供更加灵活的认证，也就是基于Form的认证模式。Form模式的认证流程如下：①浏览器发送http报文请求一个受保护的资源。②服务端的web容器判断此uri为受保护资源，于是将请求重定向到自定义的登陆页面上，例如login.html页面，可以自定义登陆页面的样式，但要遵

2016-04-15 18:13:39 6039

原创认证模式之Digest模式

TTP协议规范的另一种认证模式是Digest模式，在HTTP1.1时被提出来，它主要是为了解决Basic模式安全问题，用于替代原来的Basic认证模式，Digest认证也是采用challenge/response认证模式，基本的认证流程比较类似，整个过程如下：①浏览器发送http报文请求一个受保护的资源。②服务端的web容器将http响应报文的响应码设为401，响应头部比Basic模式复杂，WWW

2016-04-15 18:11:35 11700 1

原创认证模式之Basic模式

HTTP协议规范中有两种认证方式，一种是Basic认证，另外一种是Digest认证，这两种方式都属于无状态认证方式，所谓无状态即服务端都不会在会话中记录相关信息，客户端每次访问都需要将用户名和密码放置报文一同发送给服务端，但这并不表示你在浏览器中每次访问都要自己输入用户名和密码，可能是你第一次输入账号后浏览器就保留在内存中供后面的交互使用。先看下HTTP协议的Basic认证模式。既然是HTTP协议

2016-04-15 18:09:54 12536

原创 jsp自动编译机制

总的来说，Jasper的自动检测实现的机制比较简单，依靠某后台线程不断检测JSP文件与编译后的class文件的最后修改时间是否相同，若相同则认为没有改动，但倘若不同则需要重新编译。实际上由于在Tomcat部署的项目的JSP可能引入了其他页面，或者引入了其他jar包，而且这些资源都可能是远程的资源，所以实际处理会比较复杂，同样要遍历检测这些引入的不同资源是否做了修改。上图是一个形象的示意图，我们知

2016-04-07 09:56:01 10750 7