• 典型的安全问题:假冒者、窃听者、非法升级者
  • 认证方式: Base64 、摘要认证 、客户端证书、表单认证,重点熟悉摘要算法( HASH 、 MD5 等)
  • 安全机制:授权、认证、数据完整性、机密性
  • 80 端口、 443 端口
  • 通过 HTTP 、 HTTPS 传输数据的区别, SSL 等概念
  • 重放攻击、 SQL 注入等

【参考】

<?xml version="1.0" encoding="UTF-8"?>

<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"

         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

         xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"

         version="3.1">

    <!-- Define servlets that are included in the web application -->

    <servlet>

        <servlet-name>jack</servlet-name>

        <servlet-class>sample.Jack</servlet-class>

        <load-on-startup>1</load-on-startup>

    </servlet>

    <servlet>

        <servlet-name>dog</servlet-name>

        <servlet-class>sample.Dog</servlet-class>

        <load-on-startup>2</load-on-startup>

        <security-role-ref>

            <role-name>VIP</role-name>

            <role-link>Member</role-link>

        </security-role-ref>

    </servlet>

    <servlet-mapping>

        <servlet-name>jack</servlet-name>

        <url-pattern>/abc/*</url-pattern>

    </servlet-mapping>

    <servlet-mapping>

        <servlet-name>dog</servlet-name>

        <url-pattern>/abc/3</url-pattern>

    </servlet-mapping>

    <servlet-mapping>

        <servlet-name>dog</servlet-name>

        <url-pattern>*.do</url-pattern>

    </servlet-mapping>

    <error-page>

        <exception-type>java.lang.Throwable</exception-type>

        <location>/WEB-INF/jsp/exception/common-exception.jsp</location>

    </error-page>

    <error-page>

        <error-code>404</error-code>

        <location>/WEB-INF/jsp/exception/404-exception.jsp</location>

    </error-page>

    <welcome-file-list>

        <welcome-file>index.html</welcome-file>

        <welcome-file>abc/3</welcome-file>

        <welcome-file>index.jsp</welcome-file>

    </welcome-file-list>

    <security-role>

        <role-name>Admin</role-name>

    </security-role>

    <security-role>

        <role-name>Member</role-name>

    </security-role>

    <security-role>

        <role-name>Guest</role-name>

    </security-role>

    <!--<login-config>-->

        <!--<auth-method>BASIC 明文认证</auth-method>-->

    <!--</login-config>-->

    <!--<login-config>-->

        <!--<auth-method>DIGEST 摘要认证</auth-method>-->

    <!--</login-config>-->

    <!--<login-config>-->

        <!--<auth-method>CLIENT-CERT 客户端证书</auth-method>-->

    <!--</login-config>-->

    <login-config>

        <auth-method>FORM</auth-method>

        <form-login-config>

            <form-login-page>/loginPage.jsp</form-login-page>

            <form-error-page>/loginError.jsp</form-error-page>

        </form-login-config>

    </login-config>

    <security-constraint>

        <web-resource-collection>

            <web-resource-name>UpdateRecipe</web-resource-name>

            <url-pattern>/abc/3</url-pattern>

            <http-method>GET</http-method>

        </web-resource-collection>

        <auth-constraint>

            <role-name>Admin</role-name>

            <role-name>Member</role-name>

        </auth-constraint>

        <!--<user-data-constraint>-->

            <!--<transport-guarantee>CONFIDENTIAL</transport-guarantee>-->

        <!--</user-data-constraint>-->

        <!-- 对资源进行传输保证(不至于明文传输密码)

        tomcat 需要开启 8443 端口,并且需要一个证书,涉及到 HTTPS、SSL 等安全协议 -->

    </security-constraint>

</web-app>

loginPage.jsp :

<%@ page contentType="text/html;charset=UTF-8" language="java" %>

<html>

<head>

    <title>Authorization</title>

</head>

<body>

    <form method="post" action="j_security_check">

        <p><input type="text" name="j_username" /></p>

        <p><input type="secret" name="j_password" /></p>

        <p><input type="submit" value="Enter"></p>

    </form>

</body>

</html>

Servlet :

package sample;

import javax.servlet.ServletException;

import javax.servlet.http.HttpServlet;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

import java.io.PrintWriter;

public class Dog extends HttpServlet {

    @Override

    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {

        resp.setContentType("text/html");

        PrintWriter out = resp.getWriter();

        if (req.isUserInRole("VIP")) { // 【授权】程序式授权,对应的是在 web.xml 中的声明式授权

            out.println("Only VIP can see.");

            out.println(req.getRemoteUser()); // 【认证】确认用户身份,打印出来是 username

        }

        out.println("he is not jack.");

    }

}

【Head First Servlets and JSP】笔记 27: web 应用安全的更多相关文章

  1. 【Head First Servlets and JSP】笔记23:Expression Language(EL) 完全攻略

    基本上是<Head First Servlets and JSP>内容的整理.扩充.顺便推荐一个供参考的JSP教程:JSP Tutorial内容很全面,还有一些有趣的实例. 完整代码参考 ...

  2. 【Head First Servlets and JSP】笔记3:Servlet的生命周期

    1.servlet的存在就是要为客户服务.servlet的任务就是得到一个用户的请求,再发回一些响应. 请求可能很复杂,也可能很简单,例如,“为我的购物车结账”,这个请求携带了一些重要的数据,你必须知 ...

  3. Spring实战第六章学习笔记————渲染Web视图

    Spring实战第六章学习笔记----渲染Web视图 理解视图解析 在之前所编写的控制器方法都没有直接产生浏览器所需的HTML.这些方法只是将一些数据传入到模型中然后再将模型传递给一个用来渲染的视图. ...

  4. servlet+jsp+java实现Web 应用

    servlet+jsp+java实现Web 应用 用java来构建一个web应用是特别容易的事情,jsp和php很像,可以嵌套在html中.程序的结构很简单,也很清楚,本文主要记录下大概的开发过程和环 ...

  5. JSP/JSF从web.xml中取出context-param的配置信息

    JSP/JSF从web.xml中取出context-param的配置信息. 应用场景:我们配置了项目的版本信息,想让他显示在页面上,如: <context-param><!-- ## ...

  6. JAVA自学笔记27

    JAVA自学笔记27 1.类的加载 1)当程序要使用某个类时,如果该类还未被加载到内存中,则系统会通过加载,连接,初始化三步来实现对这个类进行初始化. ①加载:就是指将class文件读入内存,并为之创 ...

  7. go语言,golang学习笔记2 web框架选择

    go语言,golang学习笔记2 web框架选择 用什么go web框架比较好呢?能不能推荐个中文资料多的web框架呢? beego框架用的人最多,中文资料最多 首页 - beego: 简约 & ...

  8. servlet+jsp+java实现Web应用

    servlet+jsp+java实现Web应用 环境: 1,eclipse 2,tomcat3,eclipse tomcat 插件 开发过程: 1,建立一个Dynamic Web Project 2, ...

  9. Spring实战第九章学习笔记————保护Web应用

    保护Web应用 在这一章我们将使用切面技术来探索保护应用程序的方式.不过我们不必自己开发这些切面----我们将使用Spring Security,一种基于Spring AOP和Servlet规范的Fi ...

  10. JSP笔记04——架构(转)

    原始内容:https://www.tutorialspoint.com/struts_2/basic_mvc_architecture.htm Web服务器需要一个JSP引擎,即一个处理JSP页面的容 ...

随机推荐

  1. 时序数据库技术体系 – InfluxDB TSM存储引擎之TSMFile

    本文转自 http://hbasefly.com/2018/01/13/timeseries-database-4/ 为了更加系统的对时序数据库技术进行全方位解读,笔者打算再写一个系列专题(嘿嘿,好像 ...

  2. handlebears使用

    Handlebars 文档笔记: http://www.ghostchina.com/handlebars-wen-dang-bi-ji/ Handlebars模板引擎中的each嵌套及源码浅读: h ...

  3. android中Animation动画的连续播放与播放完毕后停留在最后的状态

    我们做安卓应用的苦逼程序员们常常会需要用到Animation也就是动画.比如做地图功能的时候.我们在手机旋转时需要根据手机重力感应来调整地图的角度,让它上面的“北”一直指向地球的北面...好多人做动画 ...

  4. ps -aux | egrep 多个值

    ps -aux |egrep "(schedule.jar|positec.jar|time_server.jar|tomcat-xweb/)"

  5. JAVA基础之JDBC开发、JSTL语法、EL表达式与数据分页

    一.直接使用JDBC开发的问题 1.当表中的列很多时,需要写很长的SQL语句 还需要写大量 setXXX() 设置参数语句 读取数据时还需要写大量setXXXX()设置属性语句 2.非常容易出错,而且 ...

  6. hotspot的简单介绍

    慢慢开始深入了解java,才知道java虚拟机有很多种,其中最为知名的应该就是hotspot了,接下来是hotspot的一点简单介绍. 没错,Java是解释语言,但并不意味着它一定被解释执行.早期 的 ...

  7. 并发编程 - 线程 - 1.开启线程的两种方式/2.进程与线程的区别/3.Thread对象的其他属性或方法/4.守护线程

    1.开启线程的两种方式: 进程,线程: 进程只是用来把资源集中到一起(进程只是一个资源单位,或者说资源集合)而线程才是cpu上的执行单位) 1.同一个进程内的多个线程共享该进程内的地址资源 2.创建线 ...

  8. Elven Postman---hdu5444(二叉树)

    题目链接:http://acm.hdu.edu.cn/showproblem.php?pid=5444  有一个序列,由这个序列可以画出一颗二叉树(每个节点的左边(W)都比它大,右边(E)都比它小), ...

  9. 360UI 界面框架 即QUI框架与EXT比较

    EXTJS框架是非常全面和成熟的,这是因为它发展的年头久远,并且有全世界的EXTJS爱好者为其出谋献策,它的组件库尤其是DataGrid组件无人能出其右.我在最初也考虑过使用EXTJS来做项目,学习了 ...

  10. 003-shell 传递参数

    一.概述 可以在执行 Shell 脚本时,向脚本传递参数,脚本内获取参数的格式为:$n.n 代表一个数字,1 为执行脚本的第一个参数,2 为执行脚本的第二个参数,以此类推…… 二.实例 以下实例我们向 ...