以下内容引用自http://wiki.jikexueyuan.com/project/jsp/security.html

JavaServer Pages和Servlets有几种可用的机制可以使Web开发人员用来保护应用程序。资源可以通过在应用程序部署描述中对它们进行识别并且为它们分配一个角色来声明式地保护它们。

有几种级别的身份验证是可用的,从使用基本标示符的基本验证到复杂的使用证书的密码验证。

一、基本角色的验证

Servlet规范中的认证机制使用的是一项被称为基于角色的安全技术。该想法是通过角色来创建角色和限制资源,而不是限制用户级别的资源。

可以定义在文件tomcat-users.xml中定义不同的角色,该文件位于Tomcat的主页目录中的conf.中。此文件的一个示例如下所示:

<?xml version='1.0' encoding='utf-8'?>

<tomcat-users>

<role rolename="tomcat"/>

<role rolename="role1"/>

<role rolename="manager"/>

<role rolename="admin"/>

<user username="tomcat" password="tomcat" roles="tomcat"/>

<user username="role1" password="tomcat" roles="role1"/>

<user username="both" password="tomcat" roles="tomcat,role1"/>

<user username="admin" password="secret" roles="admin,manager"/>

</tomcat-users>

这个文件在用户名称、密码和角色之间定义了一个简单的映射。请注意,一个给定的用户可能有多个角色,例如,在“tomcat”角色中的用户名=“both”,角色是“role1”。

一旦识别和定义了不同的角色,一个基于角色的安全限制可以通过使用<security-constraint>元素被放置在不同的Web应用程序中,该元素在WEB-INF目录中的web.xml文件中是可用的。

下面是web.xml中一个简单的示例:

<web-app>

...

    <security-constraint>

        <web-resource-collection>

            <web-resource-name>

               SecuredBookSite

            </web-resource-name>

            <url-pattern>/secured/*</url-pattern>

            <http-method>GET</http-method>

            <http-method>POST</http-method>

        </web-resource-collection>

        <auth-constraint>

            <description>

            Let only managers use this app

            </description>

            <role-name>manager</role-name>

        </auth-constraint>

    </security-constraint>

    <security-role>

       <role-name>manager</role-name>

    </security-role>

    <login-config>

      <auth-method>BASIC</auth-method>

    </login-config>

...

</web-app>

以上条目将意味着:

  • 任何通过/secured/*对一个URL匹配的HTTP GET或者POST请求都将被安全限制所接受。

  • 一个有着管理员角色的人是可以访问被保护的资源的。

  • 最后,login-config元素是用来描述身份验证的BASIC形式。

现在,如果试图浏览任何包含/security目录的URL,它将显示一个询问用户名和密码的对话框。如果提供一个用户“admin”和密码“secrer”,那么可以通过/secured/*访问上面的URL,因为已经定义了用户为管理员角色,而该角色是有权访问该资源的。

二、基于表单的身份验证

当时使用表单身份验证方法时,必须提供一个登录表单来提示用户输入用户名和密码。下面是一个简单登录页面login.jsp的代码,用来创建一个相同目的的表单:

<html>

<body bgcolor="#ffffff">

   <form method="POST" action="j_security_check">

      <table border="0">

      <tr>

      <td>Login</td>

      <td><input type="text" name="j_username"></td>

      </tr>

      <tr>

      <td>Password</td>

      <td><input type="password" name="j_password"></td>

      </tr>

      </table>

      <input type="submit" value="Login!">

      </center>

   </form>

</body>

</html>

在这里,必须确保登录表单中必须包含以j_username和j_password命名的表单元素。在<form>标签中的动作必须是j_security_check。POST必须以表单的方法来使用。同时必须修改<login-config>标签来指定auth-method作为表单:

<web-app>

...

    <security-constraint>

        <web-resource-collection>

            <web-resource-name>

               SecuredBookSite

            </web-resource-name>

            <url-pattern>/secured/*</url-pattern>

            <http-method>GET</http-method>

            <http-method>POST</http-method>

        </web-resource-collection>

        <auth-constraint>

            <description>

            Let only managers use this app

            </description>

            <role-name>manager</role-name>

        </auth-constraint>

    </security-constraint>

    <security-role>

       <role-name>manager</role-name>

    </security-role>

    <login-config>

      <auth-method>FORM</auth-method>

      <form-login-config>

        <form-login-page>/login.jsp</form-login-page>

        <form-error-page>/error.jsp</form-error-page>

      </form-login-config>

    </login-config>

...

</web-app>

现在,当试图用URL:/secured/*访问任何资源时,它将显示以上的表单,要求用户id和密码。当容器看到“j_security_check”动作时,它会使用一些内部机制来对调用方进行身份验证。

如果登录成功,调用者会被授权访问安全资源,那么从那时起容器会用一个session-id来识别调用者的登录会话。容器会用一个包含session-id的cookie来保持这个登录会话。服务器将cookie发送回客户端,并且只要调用者使用后续的请求显示这个cookie时,那么容器就会知道这个调用者是谁。

如果登录失败,那么服务器将发回由form-error-page设置识别的页面。

这里,j_security_check是登录表单中使用基于表单登录的应用程序必须指定的一个动作。在相同的表单中,应该有一个名为j_username的文本输入控件和一个名为j_password的密码输入控件。当看到这,这意味着表单中包含的信息将会被提交到服务器,服务器将会检查用户名和密码。这一步如何实现是由服务器指定的。

检查Standard Realm Implementations来来了解j_security_check是如何为Tomcat容器工作的。

三、Servlet/JSP中的程序性安全

HttpServletRequest对象提供了以下方法,它可以在运行时用于挖掘安全信息:

方法 描述

String getAuthType()

getAuthType()方法返回一个字符串对象,代表用于保护Servlet的身份验证方案的名称。

boolean isUserInRole(java.lang.String role)

isUserInRole()返回一个布尔型的值:如果用户在给定的角色中值为真,否则值为假。

String getProtocol()

getProtocol()方法返回一个字符串对象,代表用户发送请求的协议。它的值可以用来检查确定一个保护协议是否被使用。

boolean isSecure()

isSecure()方法返回一个布尔型的值,代表请求是否是使用的HTTPS协议。真值代表是并且连接是安全的。假值代表不是。

Principle getUserPrinciple()

getUserPrinciple()方法返回一个java.security.Principle对象,该对象包含当前已验证用户的用户名。

例如,一个JavaServer Page连接的是管理员页面,可能会使用以下代码:

<% if (request.isUserInRole("manager")) { %><a href="managers/mgrreport.jsp">Manager Report</a><a href="managers/personnel.jsp">Personnel Records</a><% } %>

在一个JSP或者Servlet里,通过检查用户的角色,可以自定义Web网页来显示只有用户自己可以访问的条目。如果需要用户名作为身份验证表单的输入,那么可以在请求对象中调用getRemoteUser方法。

JSP的安全性的更多相关文章

  1. JSP菜鸟之困

    我一直想把java一套系统学好... 之前寒假学了android......feel good 大四又把jsp补习了一边.....85 但是苦于没有做过实例..... 暑假学PS之间想恶补一下jsp. ...

  2. JSP学习(2)

    JSP学习(2) JSP简介 Java Server Page,其根本是一个简单Servlet设计. 常用的动态网站开发技术 JSP:安全性高,适合开发大型的,企业级或分布式的Web应用程序. Asp ...

  3. JSP内置对象--web安全性及config对象的使用 (了解即可)

    tomcat服务器配置的时候,在虚拟目录中必须存在一个WEB-INF文件夹,但是访问的时候并不能发现这个文件夹.改成WEB-INFs就可以看到. 所以WEB-INF文件夹不轻易让用户看到,那么其安全性 ...

  4. JSP内置对象之WEB安全性及config对象

    一.WEB-INF的安全性是最高的. 在Java EE的标准中,Web目录中的WEB-INF是必须存在的,而且此文件夹的安全性是最高的,在各个程序的开发中,基本上都将一些配置信息保存在此文件夹中.在定 ...

  5. jsp安全性问题

    jsp项目不同jsp之间假设只通过超链接进行跳转,安全性太低,不能满足现实生活中对安全性的要求! 为了提高安全性.能够通过Servlet进行跳转,进行跳转的时候为了进一步实现其安全性,能够通过间jsp ...

  6. 浅谈JSP注释

    HTML注释 JSP文件是由HTML尿急和嵌入的Java程序片段组成的,所以在HTML中的注释同样可以在JSP文件中使用.注释格式:<!--注释内容--> <!-- 欢迎提示信息! ...

  7. JSP内置对象之request对象【学习笔记】

    request对象是JSP中重要的对象,每个request对象封装着一次用户的请求,并且所有的请求参数都被封装在request对象中,因此request对象是获取请求参数的重要途径. 一.获取请求头与 ...

  8. web安全性测试用例

    建立整体的威胁模型,测试溢出漏洞.信息泄漏.错误处理.SQL 注入.身份验证和授权错误. 1.   输入验证 客户端验证 服务器端验证(禁用脚本调试,禁用Cookies) 1.输入很大的数(如4,29 ...

  9. 防止 jsp被sql注入的五种方法

    一.SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库. 二.SQL注入攻击的总体 ...

随机推荐

  1. JavaScript - try catch finally throw

    语法: try { tryCode - 尝试执行代码块 } catch(err) { catchCode - 捕获错误的代码块 } finally { finallyCode - 无论 try / c ...

  2. 洛谷 P1615 西游记公司

    题目背景 一道极其无厘头的题目 题目描述 事情是这样的:西游记中的孙沙猪(孙杀猪)三徒弟在西天取经之后开始进入厦门大学经贸系学习经济,在1个小时的学习后,他们用暴力手段毕业了.然后,他们创办了三个公司 ...

  3. MFC_简易文件管理器

    练习_简易文件管理器 Edit1编辑框绑定变量,初始化内容 m_EditCtrl = L"D:\"; 添加List控件,属性设置report,OnInitDialog()函数里添加 ...

  4. 【东软实训】SQL函数

    SQL函数 SQL是用于访问和处理数据库的标准的计算机语言,我们所使用的的是Oracle SQL 一个数据库通常包含一个或多个表,每个表有一个名字表示,下图即为一个名为“emp”的表,接下来的操作都将 ...

  5. ssh架包下载地址

    1.连接MySQL数据库所需架包点击进入官网下载 2.连接Oracle数据库所需架包点击进入官网下载 3.JUnit测试所需架包点击进入官网下载或者点击进入官网下载 4.Struts所需架包点击进入官 ...

  6. Java 取本月第一天和最后一天

    /** * 获取本月第一天 * @return */ public Date getmindate(){ Calendar calendar = Calendar.getInstance(); cal ...

  7. 样例GeoQuiz应用开发 第1章

    1. Activity是Android SDK的Activity类的一个具体实例,负责管理用户和信息屏的交互.应用的功能是通过编写一个Activity子类来实现的.简单的可能只有一个子类,复杂的应用则 ...

  8. 笔试算法题(31):将有序数组转换成BST表示 & 线段树的应用

    出题:要求将一个有序整数数组转换成最小深度的Binary Search Tree表示: 分析:由于需要是最小深度,所以BST应保持平衡,左右节点数大致相当,并且BST中当前根节点大于所有其左子树中的元 ...

  9. [Python3网络爬虫开发实战] 1.5.3-redis-py的安装

    对于Redis来说,我们要使用redis-py库来与其交互,这里就来介绍一下它的安装方法. 1. 相关链接 GitHub:https://github.com/andymccurdy/redis-py ...

  10. C语言学习8

    计算某日是该年的第几天 编写一个计算天数的程序,用户从键盘输入年.月.日,在屏幕中输出此日期是该年的第几天. /******************************************** ...