Tomcat 容器的安全认证和鉴权

最新推荐文章于 2023-06-05 10:03:28 发布
置顶 最新推荐文章于 2023-06-05 10:03:28 发布
阅读量914 收藏 2
点赞数 1
分类专栏: 互联网 编程语言 后端 文章标签: 互联网 编程语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44811417/article/details/90748450
版权

大量的 Web 应用都有安全相关的需求,正因如此,Servlet 规范建议容器要有满足这些需求的机制和基础设施,所以容器要对以下安全特性予以支持:

  • 身份验证:验证授权用户的用户名和密码
  • 资源访问控制:限制某些资源只允许部分用户访问
  • 数据完整性:能够证明数据在传输过程中未被第三方修改
  • 机密性或数据隐私:传输加密(SSL),确保信息只能被信任用户访问

本文就以上问题,对 Tomcat 容器提供的认证和鉴权的设计与实现,以及内部单点登录的原理进行分析。首发于微信公众号顿悟源码.

1. 授权

容器和 Web 应用采用的是基于角色的权限访问控制方式,其中容器需要实现认证和鉴权的功能,而 Web 应用则要实现授权的功能。

在 Servlet 规范中描述了两种授权方式:声明式安全和编程式安全。声明式安全就是在部署描述符中声明角色、资源访问权限和认证方式。以下代码片段摘自 Tomcat 自带的 Manager 应用的 web.xml:

<security-constraint> <!-- 安全约束 -->
  <web-resource-collection> <!-- 限制访问的资源集合 -->
    <web-resource-name>HTML Manager commands</web-resource-name>
    <url-pattern>/html/*</url-pattern>
  </web-resource-collection>
  <auth-constraint><!-- 授权可访问此资源集合的角色 -->
     <role-name>manager-gui</role-name>
  </auth-constraint>
</security-constraint>

<login-config><!-- 配置验证方法 -->
  <auth-method>BASIC</auth-method>
  <realm-name>Tomcat Manager Application</realm-name>
</login-config>

<security-role><!-- 定义一个安全角色 -->
  <description>
    The role that is required to access the HTML Manager pages
  </description>
  <role-name>manager-gui</role-name
最低0.47元/天 解锁文章
编程鸭
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache和Tomcat的完整性
zsw07的博客
12-29 466
项目约会 利用Apache作的负载均衡器,实现Tomcat服务器的负载均衡。利用Apache收到的网络请求分配到不同的Tomcat服务器上,从而可以增加服务器的长度和破坏,从而应对网络上用户的并发操作请求。 环境介绍 10.0.0.21 httpd 负载均衡 10.0.0.22 tomcat(两个web站点) apache负载tomcat部署 tomcat-(两个网站)-10.0.0.22 jd...
TOMCAT webapps下图片 url访问
窗外小雨
09-20 7434
点击打开链接
Tomcat基本原理
最新发布
quanzhan_King的博客
06-05 2104
Tomcat启动期间会通过解析 server.xml,利用反射创建相应的组件,所以xml中的标签和源码一一对应。
Tomcat工作原理详解
热门推荐
res_cue的专栏
03-22 11万+
Tomcat简介   作者:杨晓(http://blog.sina.com.cn/u/1237288325) 一、Tomcat背景   自从JSP发布之后,推出了各式各样的JSP引擎。Apache Group在完成GNUJSP1.0的开发以后,开始考虑在SUN的JSWDK基础上开发一个可以直接提供Web服务的JSP服务器,当然同时也支持Servlet, 这样Tomcat就诞生了。Tomc
Tomcat容器管理安全的验证方式汇总
09-30
总的来说,选择哪种验证方式取决于应用的需求和安全级别。基本验证和摘要验证适合轻量级应用,而表单验证则适用于需要自定义登录体验的情况。客户端证书验证则为高度敏感的应用提供了最高等级的保护。理解并正确配置...
Springboot如何切换默认的Tomcat容器
08-19
SpringBoot 如何切换默认的 Tomcat 容器 Spring Boot 是一个基于 Java 的开源框架,提供了许多便捷的功能和配置选项,以简化 Web 应用程序的开发。然而,在某些情况下,开发者可能需要更换默认的 Tomcat 容器,以...
SpringBoot应用部署于外置Tomcat容器的方法
08-27
这种方法可以将SpringBoot应用程序和Tomcat容器分离,使得应用程序和容器的维护和升级更加灵活和方便。 首先,需要修改项目的pom.xml配置文件,将打包方式修改为war方式,以便将应用程序部署到外置的Tomcat容器中。...
Docker下Tomcat容器中使用Mysql的方法
09-09
主要介绍了Docker下Tomcat容器中使用Mysql的方法,需要的朋友可以参考下
HTTP&&Tomcat
博客
03-09 415
HTTP介绍 HTTP:Hyper Text Transfer Protocol。超文本传输协议。 HTML:Hyper Text Markup Language. 超文本标记语言。 html谁发明的,Tim bernes lee。 HTML最初是为了科研、阅读最新的研究成果而被发明。 90年代如何取了解其他人的研究成果,期刊杂志,肯定不是电子版的。局域网互联还是可以的。论文、研究成果写出来。格式要求的 html。 http创立之初就是为了传输html的。 超文本:超越了普通的文本,不仅仅
Tomcat容器管理安全的几种验证方式
weixin_34337381的博客
05-21 275
为什么80%的码农都做不了架构师?>>> ...
tomcat配置直接通过url访问图片
震旦小读者的博客
05-11 999
配置文件 vim /usr/local/tomcat9/conf/server.xml 在<Server><Service><Engine><Host>的节点里面添加 <Context docBase="/usr/local/img" path="img" /> docBase是图片的实际存储路径,path是虚拟访问路径 通过http://ip:port/path/图片名即可访问 ...
Tomcat搭建图片服务器 + 验证图片上传
Hello, New World!
06-02 1652
Tomcat搭建图片服务器,测试图片上传1. 搭建2. 创建目录3. 上传4. 接收5. 显示6. demo 1. 搭建 首先将tomcat复制一份解压并且改名 此时 apache-tomcat-8.5.43-windows-x64-file 为图片服务器 复制后的服务器 apache-tomcat-8.5.43-windows-x64-file 使用 在安装目录conf文件夹 server.xml文件内 修改三个端口号 分别是 8005 8080 8009 上述三个端口分别都修改为 +1 即可 即 80
tomcat 禁用不安全的http请求方式
happyqwz的专栏
01-03 1万+
1:我的配置 web.xml(url下禁用的请求方式) [xml] view plain copy security-constraint>           web-resource-collection>               Your_Web_Project_Name                url-pattern>/
tomcat 允许访问静态图片_关于Tomcat配置虚拟路径保存、访问图片
weixin_30069911的博客
01-30 352
在项目中往往需要上传一些图片文件之类,一般不建议直接保存在数据库内,往往是讲图片等资源保存在服务器的某个文件夹下,传统做法是上传到部署目录下,通过相对路径进行访问。这样当我们系统需要进行升级,进行全量更新的时候,就需要我们先将静态资源拷贝出来,然后项目部署成功之后又复制进部署目录。为了以后软件版本升级的方便,这时就需要这些静态资源放置在服务器tomcat目录外面。解决方法一般有两种:第一种就是写相...
Tomcat 对静态资源的处理
weixin_30511039的博客
05-07 811
Tomcat 中的请求都是由 Servlet 处理,静态资源也不例外。在默认的 web.xml 中,配置了一个 DefaultServlet 用于处理静态资源,它支持缓存和断点续传。 DefaultServlet 的基本处理过程如下: 查找资源是否存在缓存 检查是否满足可选 If 头域指定的条件 设置响应头域,如 Content-Type、Content-Length、ETag、Last-Mod...
解决Tomcat如何访问WEB-INF下的静态资源
weixin_52875840的博客
03-08 2173
我们可以查看tomcat/conf/web.xml 这里默认只能解析以下几种文件格式。 因此为了让tomcat服务器有权限访问,需要添加html文件, <servlet-mapping> <servlet-name>jsp</servlet-name> <url-pattern>*.jsp</url-pattern> <url-pattern>*.jspx</
Tomcat安全防护策略与实践
配置独立的Tomcat Web服务器以支持SSL,可以提供HTTPS连接,保证数据传输的加密和安全性。 最后,过滤恶意用户输入是防止SQL注入、跨站脚本攻击等常见安全威胁的关键。Tomcat提供了阀门组件(Valve),可以对HTTP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值