l2tp连接尝试失败 因为安全层在初始化_Tomcat 容器的安全认证和鉴权

最新推荐文章于 2024-05-31 07:36:56 发布
最新推荐文章于 2024-05-31 07:36:56 发布
阅读量156 收藏
点赞数

大量的 Web 应用都有安全相关的需求,正因如此,Servlet 规范建议容器要有满足这些需求的机制和基础设施,所以容器要对以下安全特性予以支持:

  • 身份验证:验证授权用户的用户名和密码
  • 资源访问控制:限制某些资源只允许部分用户访问
  • 数据完整性:能够证明数据在传输过程中未被第三方修改
  • 机密性或数据隐私:传输加密(SSL),确保信息只能被信任用户访问

本文就以上问题,对 Tomcat 容器提供的认证和鉴权的设计与实现,以及内部单点登录的原理进行分析。首发于微信公众号顿悟源码.

1. 授权

容器和 Web 应用采用的是基于角色的权限访问控制方式,其中容器需要实现认证和鉴权的功能,而 Web 应用则要实现授权的功能。

在 Servlet 规范中描述了两种授权方式:声明式安全和编程式安全。声明式安全就是在部署描述符中声明角色、资源访问权限和认证方式。以下代码片段摘自 Tomcat 自带的 Manager 应用的 web.xml:

HTML Manager commands/html/*manager-gui BASIC Tomcat Manager Application The role that is required to access the HTML Manager pages manager-gui

这些安全相关的配置,都会在应用部署时,初始化和设置到 StandardContext 对象中。更多详细的内容可查看规范对部署描述文件的解释,接下来看 Tomcat 怎么设计和实现认证及鉴权。

2. 认证和鉴权的设计

Servlet 规范虽然描述了 Web 应用声明安全约束的机制,但没有定义容器与关联用户和角色信息之间的接口。因此,Tomcat 定义了一个 Realm 接口,用于适配身份验证的各种信息源。整体设计的类图如下:

68da35ed2ab481a9e19b485784a3ca44.png

上图中,包含了各个类的核心方法,关键类或接口的作用如下:

  • Realm - 译为,域有泛指某种范围的意思,在这个范围内存储着用户名、密码、角色和权限,并且提供身份和权限验证的功能,典型的这个范围可以是某个配置文件或数据库
  • CombinedRealm - 内部包含一个或多个 Realm,按配置顺序执行身份验证,任一 Realm 验证成功,则表示成功验证
  • LockOutRealm - 提供用户锁定机制,防止在一定时间段有过多身份验证失败的尝试
  • Authenticator - 不同身份验证方法的接口,主要有 BASIC、DIGEST、FORM、SSL 这几种标准实现
  • Principal - 对认证主体的抽象,它包含用户身份和权限信息
  • SingleSignOn - 用于支持容器内多应用的单点登录功能

2.1 初始化

Realm 是容器的一个可嵌套组件,可以嵌套在 Engine、Host 和 Context 中,并且子容器可以覆盖父容器配置的 Realm。默认的 server.xml 在 Engine 中配置了一个 LockOutRealm 组合域,内部包含一个 UserDatabaseRealm,它从配置的全局资源 conf/tomcat-users.xml 中提取用户信息。

web.xml 中声明的安全约束会初始化成对应的 SecurityConstraint、SecurityCollection 和 LoginConfig 对象,并关联到一个 StandardContext 对象。

在上图可以看到,AuthenticatorBase 还实现了 Valve 接口,StandardContext 对象在配置的过程中,如果发现声明了标准的验证方法,那么就会把它加入到自己的 Pipeline 中。

3. 一次请求认证和鉴权过程

Context 在 Tomcat 内部就代表着一个 Web 应用,假设配置使用 BASIC 验证方法,那么 Context 内部的 Pipeline 就有 BasicAuthenticator 和 StandardContextValve 两个阀门,当请求进入 Context 管道时,就首先进行认证和鉴权,方法调用如下:

7624be42f8ec3732a3f4e7c2b45df0cc.png

整个过程的核心代码就在 AuthenticatorBase 的 invoke 方法中:

public void invoke(Request request, Response response) throws IOException, ServletException { LoginConfig config = this.context.getLoginConfig(); // 0. Session 对象中是否缓存着一个已经进行身份验证的 Principal if (cache) { Principal principal = request.getUserPrincipal(); if (principal == null) { Session session = request.getSessionInternal(false); if (session != null) { principal = session.getPrincipal(); if (principal != null) { request.setAuthType(session.getAuthType()); request.setUserPrincipal(principal); } } } } // 对于基于表单登录,可能位于安全域之外的特殊情况进行处理 String contextPath = this.context.getPath(); String requestURI = request.getDecodedRequestURI(); if (requestURI.startsWith(contextPath) && requestURI.endsWith(Constants.FORM_ACTION)) { return; } } // 获取安全域对象,默认配置是 LockOutRealm Realm realm = this.context.getRealm(); // 根据请求 URI 尝试获取配置的安全约束 SecurityConstraint [] constraints = realm.findSecurityConstraints(request, this.context);  if ((constraints == null) /* && (!Constants.FORM_METHOD.equals(config.getAuthMethod())) */ ) { // 为 null 表示访问的资源没有安全约束,直接访问下一个阀门 getNext().invoke(request, response); return; } // 确保受约束的资源不会被 Web 代理或浏览器缓存,因为缓存可能会造成安全漏洞 if (disableProxyCaching &&  !"POST".equalsIgnoreCase(request.getMethod())) { if (securePagesWithPragma) { response.setHeader("Pragma
weixin_39559333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解决win10 L2TP错误
11-19
解决L2TP连接尝试失败:ERROR因为安全初始化与远程计算机的协商时遇到了一个处理错误,不保证对所有人有效。
tomcat设置context不生效_Tomcat Context配置(转)
weixin_32705179的博客
12-31 1584
元素的属性:path:指定访问该Web应用的URL入口。docBase:指定Web应用的文件路径,可以给定绝对路径,也可以给定相对于的appBase属性的相对路径,如果Web应用采用开放目录结构,则指定Web应用的根目录,如果Web应用是个war文件,则指定war文件的路径。(指定项目所在地址)reloadable:如果这个属性设为true,tomcat服务器在运行状态下会监视在WEB-INF/c...
war包部署tomcat时context-path不生效
banyoyo的博客
02-21 1541
war包部署到tomcat时,tomcat默认时以webapps下的文件夹名来作为context-path路径的; 配置文件中的context-path只是对于Springboot 打包成jar包时,才有用
L2TP连接尝试失败,因为安全初始化与远程计算机的协商时遇到一个处理错误。
最新发布
Innocence_0的博客
05-31 2063
计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Parameters。计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters。系统网卡驱动问题,需要进行网络重置,卸载网卡驱动后重新安装网卡驱动。(已使用2年半的方法)使用后未将其断开或者频繁连接断开,导致注册表出现异常。如果你对网络安全入门感兴趣,那么你需要的话可以点击这里。
Tomcat context.xml配置详解
m0_67394002的博客
04-27 3480
1. 在tomcat 5.5之前: Context体现在/conf/server.xml中的Host里的元素,它由Context接口定义。每个元素代表了运行在虚拟主机上的单个Web应用。 元素: <Context path="/kaka" docBase="kaka" debug="0" reloadbale="true"> 1>path:即要建立的虚拟目录,,注意是/kaka,它指定访问Web应用的URL入口,如http://localhost:8080/kaka/****。 2&g
tomcat设置context不生效_tomcat部署应用时设置context path为空的上下文路径问题
weixin_31133141的博客
12-23 1577
在server.xml中添加元素,配置如下:在配置中包含如下信息:1. 配置docBase值为:docBase="app"或者docBase="app.war";2. path为空,表示app为tomcat默认应用;同时,将app.war部署在CATALINA_HOME/webapps/路径下。1.如果在部署app时删除了CATALINA_HOME/webapps/路径下的ROOT目录(即删除to...
安装redis数据库到Linux服务器
weixin_43937112的博客
05-02 215
1、进入local目录:cd /usr/local 2.redis是基于c语言开发的,安装c语言环境:yum install gcc-c++,然后输入y 3、下载redis 4、新建redis文件夹:mkdir redis 5、移动redis压缩包到redis文件夹下:mv redis-3.0.4.tar.gz /usr/local/redis 6、解压redis安装包:tar -zxvf ...
l2tp.rar_Linux l2tp_Over_l2tp
09-24
L2TP-over-IP socket for L2TPv3.
L2TP协议 详解(最新版)
05-09
L2TP协议 详解(最新版)
NetworkManager-l2tp:对NetworkManager的L2TPL2TPIPsec支持
02-22
NetworkManager-l2tp是用于NetworkManager 1.8及更高版本的VPN插件,它支持L2TPL2TP / IPsec(即,基于IPsec的L2TP连接。 对于L2TP支持,它使用xl2tpd( ) 为了获得IPsec支持,它使用以下任一方法: 利伯...
l2tp.rar_Over_l2tp_l2tpv3
09-23
L2TP-over-IP socket for L2TPv3.
tomcat设置context不生效_web.xml 里配置了 ContextLoaderListener,tomcat就无法启动
weixin_42300194的博客
12-23 986
系统:Mac OSTomcat版本:8.0.29web.xml 配置如下:xmlns="http://java.sun.com/xml/ns/javaee"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://java.sun.com/xml/ns/javaeehttp://java.sun....
Tomcat配置Context
uikoo9的专栏
04-08 1741
【说明】 用Tomcat作为服务器的项目, 每次修改之后都需要重新的部署, 很是麻烦, 有时候遇到问题还要排除是不是由于webapps中的没有清干净, 如果一段时间内只是开发一个项目, 可以通过配置Tomcat的Context实现简化。 【配置】 修改conf/server.xml文件, 文件的最后添加: path就是浏览器中的访问路径, doc
Tomcat实战完整配置+详解
davidwkx的博客
03-23 677
笔者在此奉上Tomcat8下完整的实战配置文件(含详解),供大家参考。tomcat默认安装有提供docs项目,更多参数及文中参考链接"/docs/…"就是指tomcat本身提供的docs项目。
SpringBoot部署到服务器Tomcat添加server.context-path后静态资源、请求等404
热门推荐
Damionew的博客
11-27 1万+
原本在本地localhost:端口号/请求就可以完成 但是打包发布到Tomcat需要使用localhost:端口号/项目名/请求 其他配置等等网上很多,但是发现自己的静态资源根据原来的配置总是404 花了些时间测试,然后只能把各种请求全部加上"/项目名称/"比如 后台管理 dataType:"json",
一篇文章读懂Tomcat的Context配置
hgswsdn的博客
10-25 6752
Context元素代表一个Web应用程序,它在特定的虚拟主机中运行。处理每个 HTTP 请求的 Web 应用程序,都是基于将请求 URI的前缀与每个定义的Context的*Context路径进行匹配。* 一旦选择,该Context将根据 Web应用程序部署定义的servlet映射选择适当的servlet来处理传入请求。可以根据需要定义任意数量的Context元素。每个Context必须在Host中具有唯一的Context名称。Context路径不需要是唯一的(参考并行部署)。
设置数据库连接池的两种方法
zhangpinghao的专栏
11-07 675
http://c20000001.blog.163.com/blog/static/115475412008103054214782/ driverClassName="com.mysql.jdbc.Driver"    或者 org.gjt.mm.mysql.Driver 设置数据库连接池的两种方法 这几天在弄个小东西,要用到数据库,以前就听说过数据库连接池这个概念,所以就打算在这个
Tomcat服务器session持久化
ja_II_ck的专栏
07-12 1338
简介 Jakarta Tomcat服务器是一种Servlet/JSP容器,经历了3.x到4.0.x到4.1.x的变迁,现在最新的版本为5.0.x,支持Servlet2.4和JSP2.0规范,从apache网站上下载Tomcat 5,在环境变量中配置一下JAVA_HOME,小猫就能生灵活现的跑起来了。若小猫启动失败,DOS窗口会自动关闭,若运行catalina run命令DOS窗口是不会自动关闭的。
tomcat设置context不生效_Tomcat中Context标签使用
weixin_29997223的博客
12-23 755
Context标签可以设置Tomcat默认项目,设置项目的浏览器访问路径,让项目修改后自动重新编译部署。如何使用:找到tomcat安装目录的conf/server.xml文件,在server.xml里的标签中加入:属性涵义:path表示浏览器访问的地址路径例如:浏览器访问地址为:"http://IP地址或域名:端口/test"paht可以为空字符串,为空字符串时表示此项目为Tomcat默认的项目。...
L2TP连接尝试失败,因为安全初始化与远程计算机的协商时遇到一个错误
05-18
1. 安全协商失败L2TP需要与远程计算机协商安全协议,如果协商失败,则连接尝试将会失败。可以尝试更改协商的安全协议或者检查远程计算机的安全设置。 2. 防火墙阻止了连接:防火墙可能会阻止L2TP连接尝试,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值