在上一篇文章中,我们解释了如何在通过传输层安全性(TLS)/安全套接字层(SSL)传输数据时保护数据。 现在,让我们尝试了解如何为使用LDAP服务器进行身份验证的基于JEE 6的Web应用程序应用安全机制。
目的:
•在JEE应用服务器中配置LDAP领域
•将JEE安全性应用于示例Web应用程序。
使用的产品:
- IDE:Netbeans 7.2
- Java开发套件(JDK):版本6
- Glassfish服务器:3.1
- 身份验证机制:基于表单的身份验证
- 验证服务器:LDAP OpenDS v2.2
将JEE安全性应用于示例Web应用程序:
可以通过声明性安全性或程序性安全性来保护JEE Web应用程序。
声明式安全性可以通过使用批注或通过部署描述符在JEE应用程序中实现。 如果角色和身份验证过程很简单,并且可以利用现有的安全提供程序(甚至包括LDAP,Kerberos之类的外部安全提供程序),则使用这种类型的安全性机制。
当声明性安全对于上下文中的应用程序来说不够时, 程序安全性提供了附加的安全性机制。 当我们需要定制的安全性并需要丰富的角色集时,需要使用它。
在Glassfish应用程序服务器中配置领域
在我们在Glassfish应用程序服务器中配置领域之前,您需要安装和配置将用于项目的LDAP服务器。 您可以在以下文章中获得完整的说明:“ 如何安装和配置LDAP服务器 ”。
安装成功后,启动您的Glassfish服务器,然后转到管理控制台。 创建一个新的LDAP领域。
创建新的LDAP领域
根据为LDAP服务器完成的配置添加配置设置。
Glassfish Web应用程序LDAP领域
JAAS上下文–标识符,将在应用程序模块中用于与LDAP服务器连接。 (例如ldapRealm)
目录– LDAP服务器URL路径(例如ldap:// localhost:389)
基本DN:LDAP目录中的专有名称,用于标识用户数据的位置。 将JEE安全性应用于Web应用程序 按照以下结构创建示例Web应用程序:
SampleWebApp目录
基于表单的身份验证机制将用于用户身份验证。
JEE登录和身份验证
让我们借助上图和代码来解释整个过程。
在Netbeans IDE中设置一个示例Web应用程序。
Netbeans IDE中的SampleWebApp
SampleWebApp配置
步骤1:
如上图所示,客户端浏览器尝试从http:// {samplewebsite.com} / {contextroot} /index.jsp网站请求受保护的资源。 Web服务器进入Web配置文件,并确定请求的资源受到保护。
web.xml
<security-constraint><display-name>SecurityConstraint</display-name><web-resource-collection><web-resource-name>Secured resources</web-resource-name><url-pattern>/*</url-pattern></web-resource-collection><auth-constraint><role-name>GeneralUser</role-name><role-name>Administrator</role-name></auth-constraint><user-data-constraint><transport-guarantee>NONE</transport-guarantee></user-data-constraint>
</security-constraint>第2步:
Web服务器将Login.jsp作为基于表单的身份验证机制的一部分提供给客户端。 这些配置是从Web配置文件中检查的。
web.xml
<login-config><auth-method>FORM</auth-method><realm-name>ldapRealm</realm-name><form-login-config><form-login-page>/Login.jsp</form-login-page><form-error-page>/LoginError.jsp</form-error-page></form-login-config>
</login-config>第三步:
客户端将登录表单提交到Web服务器。 当服务器发现表单操作为“ j_security_check”时,它将处理请求以对客户端的凭据进行身份验证。 jsp表单必须包含登录元素j_username和j_password,这将允许Web服务器调用登录身份验证机制。
Login.jsp
<form action="j_security_check" method=post><p>username: <input type="text" name="j_username"></p><p>password: <input type="password" name="j_password"></p><input type="submit" value="submit"><input type="reset" value="Reset">
</form>由于在登录配置中使用了LDAP领域,因此在处理请求时,Web服务器会将身份验证请求发送到LDAP服务器。 LDAP服务器将根据LDAP存储库中存储的用户名和密码对用户进行身份验证。
第四步:
如果身份验证成功,则将安全资源(在本例中为index.jsp)返回给客户端,并且容器使用会话ID来标识客户端的登录会话。 容器使用包含会话ID的cookie维护登录会话。 服务器将此Cookie发送回客户端,只要客户端能够为后续请求显示此cookie,那么容器就可以轻松识别客户端,从而维护该客户端的会话。
步骤5:
仅当认证失败时,才会按照web.xml中的配置将用户重定向到LoginError.jsp。
<form-error-page>/LoginError.jsp</form-error-page>这显示了如何将基于表单的安全认证应用于示例Web应用程序。 现在,让我们简要了解一下用于该项目的安全资源。 在该项目中,受保护的资源是index.jsp,它接受用户名并将请求转发到LoginServlet。 登录Servlet将请求分派到Success.jsp,然后将用户名打印到客户端。
index.jsp
<body><h2>Please type your name</h2><form method="POST" action="LoginServlet"><input type="text" name="username" size="25"><p></p><input type="submit" value="Submit"><input type="reset" value="Reset"></form></body>LoginServlet.java
protected void processRequest(HttpServletRequest request, HttpServletResponse response)throws ServletException, IOException {response.setContentType("text/html;charset=UTF-8");PrintWriter out = response.getWriter();try {RequestDispatcher requestDispatcher = getServletConfig().getServletContext().getRequestDispatcher("/Success.jsp");requestDispatcher.forward(request, response);} finally {out.close();}}Success.jsp
<body><h1>You have been successfully logged in as ${param.username}</h1>
</body>Web.xml
<servlet><servlet-name>LoginServlet</servlet-name><servlet-class>com.login.LoginServlet</servlet-class></servlet><servlet-mapping><servlet-name>LoginServlet</servlet-name><url-pattern>/LoginServlet</url-pattern></servlet-mapping>您可以从以下链接下载完整的工作代码:
- SampleWebApp代码下载
翻译自: https://www.javacodegeeks.com/2013/05/secure-web-application-in-java-ee6-using-ldap.html
