jboss权限控制

最新推荐文章于 2021-04-28 17:43:40 发布
最新推荐文章于 2021-04-28 17:43:40 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: jboss 文章标签: jboss spring servlet security 框架 tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zxfavalon/article/details/4212912
版权

之前一直在使用spring security作为权限控制的框架。

最近接触的一些医学方面的开源应用都是基于jboss开发,决定做些研究。医学方面的信息安全是最重要的,很自然的,jboss的安全框架是否能满足需求是必须要考虑的。

jboss的安全框架是JBossSX,它是基于jaas,这意味着,你可以开发自己的安全应用并集成到jbossSX中,只需用遵循jaas规范,但这并不是我所关注的。我想知道的是,jboss现有的功能是否满足我的需求。

jboss首先创建各种安全域,这些安全域实际上就是指定了各种安全检测方法。这些安全域可以被各种应用所使用。

对于web应用,和tomcat中的应用一样,首先在server.xml文件中定义realm(在tomcat中,你可以使用单独的context来对某个特定引用指定特定的realm)。在jboss中,realm实际上只是一个代理,它用于将jboss中的安全域引入servlet容器。然后在web.xml中指定url的访问权限。但在jboss中,需要多做一步,因为realm只是一个代理,而jboss可以定义多个安全域,因此为了指定servlet中使用的安全域,需要用到jboss-web.xml来指定,其内容如下:

 

<jboss-web>

<security-domain>java:/jaas/simple-security-domain</security-domain>

</jboss-web>

另外如果不指定安全域,web应用将使用默认安全域。

和spring security比较,功能差不多,但是少一些可控性,比如spring中可以指定,用户一旦通过身份认证,都强制显示一个默认主页,但jaas中不行,不知道是不是规范的问题。需要注意的是,一个web应用只能使用一个安全域。

对于ejb,可以以annotation的形式,来指定使用的安全域,以及某个方法可以由谁来访问。在spring中,也可以实现对方法级别的安全控制。

但是在spring中,权限控制可以详细到数据层面,比如说,同样一张表中的数据,用户A只能访问其中的1、3、5条记录,这方面我在jboss中还没有看到,不过这方面的需求,目前还没有碰到过。

总之,从目前的了解看来,jboss的安全框架可以基本满足我现有的安全需求。

 

zxfavalon
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jboss-as-master
09-11
4. **安全管理配置**:配置用户、角色和权限,可以通过`management-users.properties`和`application-users.properties`文件完成。 5. **连接器配置**:如HTTP/HTTPS连接器,可以设置监听端口、SSL证书等。 6. **...
jboss7.1wwww
11-17
- JBoss 7.1提供了内置的安全管理框架,支持JAAS(Java Authentication and Authorization Service),可以更方便地实现用户认证和权限控制Tomcat的安全管理需要手动配置,相对复杂。 7. **社区与商业支持**: ...
Jboss EAP 6.2以上版本管理用户权限
D的专栏
12-31 1880
1. 使用add-user.bat / add-user.sh添加2个Management Users(myadmin和myuser) 2. 启动standalone.bat / standalone.sh, 通过myadmin登录控制台http://localhost:9990/console/App.html 3. 切换到Administration页面, 添加Users: User:
linux jboss 内存配置文件,linux - JBoss用户权限 - 堆栈内存溢出
weixin_29023805的博客
04-28 204
我已经从JBoss EAP 6.2.0GA升级到6.3.0GA,并且在安装ActiveMQ作为嵌入式模块后遇到了这个问题。 我的Windows计算机上正在使用相同的配置,因此我认为这是某种CentOS权限问题。INFO [org.apache.activemq.store.SharedFileLocker] (Starting ActiveMQ Broker) Database activemq...
JBOSS7 学习 <一> 只能127.0.0.1 访问控制
weixin_34001430的博客
06-02 220
为什么80%的码农都做不了架构师?>>> ...
JBoss Portal 权限设置
yushanyuan
04-16 226
Portal的权限设置可以分为两种:一种是通过*-object.xml 配置文件,设置&lt;security-constraint&gt;;第二种方法就是使用managerment portal 动态设置。   权限分为4类: view:用户可以浏览此页面 Viewrecursive:用户可以浏览此页面及其子页面 Personalize:用户可以定制此页面的theme Persona...
JBoss默认身份验证漏洞利用及修复
weixin_34289454的博客
04-11 422
JBoss应用服务器是一个开源的基于Java EE应用服务器。 JBoss被广泛使用,许多组织的web服务器都是由JBoss部署的。JBoss已经爆出过很多漏洞和错误,本文将分享JBoss应用程序默认身份验证漏洞的利用和修复. 如果JBoss配置不正确,就会允许***者执行各种恶意活动。由于JMX在通常情况下可以通过8080端口进行远程访问,***和恶意用户可以通过JBos...
JBoss-config.zip_jboss
09-24
JBoss配置详解】 JBoss,全称Red Hat JBoss,是开源的Java应用服务器,由JBoss社区开发,现在隶属于Red Hat公司。...在实践中,务必注意文档更新、权限设置以及安全最佳实践,以确保JBoss环境稳定且安全地运行。
jboss-config.rar_jboss
09-19
7. **security**: JBoss的安全配置涉及用户、角色和权限的定义。这通常在`standalone/configuration/standalone.xml`或`domain/configuration/domain.xml`的安全域部分进行。 8. **logging.properties**: JBoss的...
jboss as 3
01-16
7. **安全管理**:JBoss AS 3内置了基于角色的访问控制(RBAC),允许管理员定义用户角色和权限,以实现细粒度的安全控制。 8. **部署模型**:JBoss AS 3支持多种部署方式,如WAR(Web应用程序归档)和EAR(企业...
git码云配置web hook钩子实现自动部署,git权限等问题,LAMP
热门推荐
yufan_xiaowu的博客
09-12 1万+
由于博客搬家,我的博客将在: 懒惰的夜猫子  上发布 点击下方链接即查看: git码云配置web hook钩子实现自动部署,git权限等问题,LAMP     __________________________________________________________________   这几天用git的时候就看到git有一个非常方便的功能可以实现自动部署到服务器。然后我就看...
配置jboss7与flex建立jms应用
chuanjiao3432的博客
12-16 155
创建jboss7应用用户 通过“add-user.bat”创建应用用户,详细操作请google。 设置topic与权限 使用jboss的jms功能,需要用standalone-full.xml启动jboss。 把新创建用户的角色加入配...
利用JBoss漏洞拿webshell方法
fengling132的专栏
08-15 1万+
JBoss是一个大型应用平台,普通用户很难接触到。越是难以接触到的东西越觉得高深,借用北京公交司机李素丽的一句话“用力只能干出称职,用心才能干出优秀”,在安全上也是如此,虽然JBoss平台很难掌握,但是只要找到Jboss的罩门,一样轻松渗透,本文就如何针对Jboss的一个漏洞来获取其Webshell,由于是研究,因此仅仅点到为止。   一、信息收集与整理 1.使用漏洞特征进行搜索
jboss-as-7.0.2.Final 后台管理账号的配置
www.v5qq.com的技术博客
11-24 274
后台管理账号的配置 Jboss As 7的后台管理账号配置有三种模式, 第一种是直接在后台的配置文件书写 第二种是通过属性文件配置 第三种是通过与LDAP连接(这里不做案例,暂时没有LDAP无法做实验) 1)、第一种是直接在后台的配置文件书写 以standalone 启动模式 -- 直接配置文件方式为例 直接在jboss-as-7.0.2.Final/standalone/con...
JBoss企业应用平台多个非授权访问漏洞
weixin_34233679的博客
12-01 117
警 告 以下程序(方法)可能带有***性,仅供安全研究与教学之用。使用者风险自负! Chris said... Got this working with JBoss-autopwn :-D Screenshot below.. [root@foo jboss-autopwn]# ./jboss-autopwn 192.168.1.3 8080 [x]...
java反序列化漏洞利用工具_红队攻击之利用jboss反序列化获取目标权限漏洞梳理
weixin_39963287的博客
12-02 664
JBOSS AS 6.x反序列化(CVE-2017-12149)漏洞影响5.x和6.x版本的JBOSSAS1、检测目录 192.168.28.138:60899/invoker/readonly2、Linux下编译java代码,然后生成反弹shell序列化文件,内容较长,可私信“jboss”获取代码javac -cp .:commons-collections-3.2.1.jar ReverseS...
tomcat weblogic jboss 漏洞
最新发布
12-16
为了防止这些漏洞对系统造成危害,用户应该及时安装官方发布的补丁和更新,加强服务器的安全配置,限制对服务器的访问权限,定期进行安全审计和漏洞扫描。同时,开发人员也应该编写健壮安全的代码,以减少在应用程序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值