这里的Java Web容器特指Tomcat,Tomcat依然是最流行的Java Web容器,你大爷还是你大爷。
本文并不涉及业务层面上的安全控制,只针对Tomcat自身所支持的相关安全控制功能与特性。
首先看一下Web容器的四个基本安全特性验证 Authentication
资源访问控制 Access control for resources
数据完整性 Data Integrity
数据机密性或私密性 Confidentiality or Data Privacy
每一项的细节这里不展开,并不难理解。
Java EE使用基于角色的访问控制——有用户、组、角色三个基本概念。
存储用户名和密码的地方叫Realm,有可能是文件,比如Tomcat的tomcat-users.xml,也可能是数据库,或者基于证书的机制。
Tomcat支持声明式验证和编程式验证,一个是基于XML配置,一个是通过代码实现。
声明式基本身份验证
在web.xml中定义
BASIC
同时可以定义角色
Admin User
admin
Manager
manager
针对路径做控制
Admin
/admin/*
admin
连HTTP方法也能配置
Manager
/manager/*
GET
POST
admin
manager
部署后,根据各服务器来配置用户和角色,比如Tomcat的就在conf/tomcat-users.xml里。
Tomcat的验证过程如下初次访问某个受保护的URI,Web容器会检查请求中是否包括Authorization头,如果没有,容器会返回401,以及WWW-Authenticate标头给浏览器,浏览器收到后会弹出对话框要求用户输入名称和密码。
如果用户输入用户名、密码正确后,浏览器会将用户名、密码以BASE64方式编码,然后放在Authorization标头中送出,容器进行验证,正确就将资源传回。
在关闭浏览器之前,对服务器的请求都包括Authorization头,服务器也每次都检查,所以登录有效期一直持续到关闭浏览器为止。
现在实验步骤如下
在Tomcat9目录下,修改conf/tomcat-users.xml文件,解注并新增admin的角色
在webapps目录下,新建test目录和/WEB-INF/web.xml文件
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaeehttp://xmlns.jcp.org/xml/ns/javaee/web-app_4_0.xsd"
version="4.0"
metadata-complete="true">
Servlet and JSP Examples.
Servlet and JSP Examples
UTF-8
Example Security Constraint
Protected Area - Allow methods
/admin/*
DELETE
GET
POST
PUT
admin
manager
BASIC
admin
manager
新建/admin目录和/test.html文件,
输入正确后,查看请求可以看到Authorization头
注意这种方式几乎跟裸奔没区别,只要能拦截到你的HTTP请求,就相当于查看到你的密码。上面Basic后的字符串用base64解密就是tomcat:123456。
如果需要自定义登录窗口,可以配置
FORM
/login.html
/error.html
登录表单的action和name属性是有要求的
除了FORM和BASIC,还可以设置为DIGEST或CLIENT_CERT。DIGEST提交时传递的是MD5加密后的摘要,CLIENT_CERT使用的是Public Key Certificate(PKC)加密,客户端要安装证书。
如果要启用HTTPS,则在下设置
CONFIDENTIAL
默认值是NONE,还可以设置为INTEGRAL,不过习惯设为CONFIDENTIAL,效果一样。
设置完后,认证的时候会自动跳转为HTTPS
编程式安全管理
支持编程能带来更灵活的控制。HttpServletRequest里跟安全有关的方法有authenticate( ): 是否登录,如果没有,返回false,并会转到登录界面
login( ): 登入
logout( ): 登出
getUserPrincipal( ): 取得代表用户的Principal对象
getRemoteUser( ): 获得登录用户的名称
isUserInRole(String role): 传入角色名称,检查登录用户是否属于该角色
@WebServlet("/secret")
public class User extends HttpServlet {
@Override
protected void doGet(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
if (request.authenticated(response)) { // 检查登录 // 执行登录后的用户能够做的事情 }
}
@WebServlet("/login")
public class Login extends HttpServlet {
@Override
protected void doPost(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
String username = request.getParameter("user");
String password = request.getParameter("passwd");
try {
request.login(username, password);
response.sendRedirect("user");
} catch( ServletException ex) {
response.sendRedirect("login.html");
}
}
和对标的注解是@ServletSecurity,比如
@WebServlet("/admin")
@ServletSecurity(@HttpConstraint(rolesAllowed = {"admin"}))
就表示/admin只允许admin角色访问。
再看一个复杂一点的
@WebServlet("/admin")
@ServletSecurity(
value=@HttpConstraint(rolesAllowed = { "admin", "manager" }),
httpMethodConstraints = {
@HttpMethodConstraint(value = "GET", rolesAllowed = {"admin", "manager"},
transportGuarantee = TransportGuarantee.CONFIDENTIAL),
@HttpMethodConstraint(value = "POST", rolesAllowed = {"admin", "manager"}),
)
其它Realm
前面的例子都是把用户名密码放在配置文件里,这样带来一定的隐患,在Tomcat里也支持其它的Realm,比如JDBCRealm
DataSourceRealm
JNDIRealm
UserDatabaseRealm
MemoryRealm
JAASRealm
CombinedRealm
LockOutRealm
