保护servlet URL而不使用用户名密码验证

时间:2011-02-01 12:06:20

标签: java security servlets ejb

我有一个带有EJB模块和Web应用程序模块(servlet)的企业应用程序。我使用URLConnection从EJB访问servlet URL但是想要保护URL具有一定的安全性。我不想使用用户名和密码进行身份验证,因为我无法使用任何单点登录解决方案,所以我想如果有办法限制只能从其企业应用程序访问URL。请帮忙。

3 个答案:

答案 0 :(得分:3)

你遗漏了很多信息:

  • servlet仅由EJB模块使用,还是由其他客户端使用?
  • servlet和EJB模块是否在同一个容器中运行?同一台物理机器?
  • 您使用的是哪个Web服务器/ servlet容器/ J2EE容器?

如果servlet仅由EJB模块使用,并且它们都在同一台机器上,那么您可以将Web容器配置为仅接受来自localhost的连接,并将EJB模块使用的URL更改为指向localhost而不是公共域名或IP地址。

如果它们位于不同的计算机上,或者如果您的servlet由其他客户端使用,那么您将需要以某种方式对EJB模块进行身份验证。您可以使用SSL客户端证书(请参阅this question)或配置您的servlet容器以允许来自EJB模块的IP地址的连接。

修改

使用servlet过滤器来控制访问非常简单。在您的情况下,您要验证请求是否来自localhost。如果没有,请将未经授权的消息发送回客户端。

这是一个非常简单的doFilter方法实现,应该这样做:

public void doFilter(ServletRequest request,
                     ServletResponse response,
                     FilterChain chain)
   throws ServletException, IOException
{
    if (!request.getRemoteAddr().equals("127.0.0.1")) {
        HttpServletResponse rsp = (HttpServletResponse) response;
        rsp.sendError(HttpServletResponse.SC_FORBIDDEN, "You are not authorized to access this resource.");
    }

    chain.doFilter(request, response);
}

使用以下内容将过滤器添加到web.xml

<filter>
    <filter-name>AuthorizationFilter</filter-name>
    <filter-class>com.foo.bar.AuthorizationFilter</filter-class>
</filter>

<filter-mapping>
    <filter-name>AuthorizationFilter</filter-name>
    <servlet-name>RestrictedServlet</servlet-name>
</filter-mapping>

过滤器按照web.xml中显示的顺序执行,因此请确保授权过滤器是第一个列出的过滤器。

说完这一切之后,我在这里与BalusC达成协议。如果可能的话,您应该重构代码,以便EJB模块直接执行代码而不是进行servlet调用。

答案 1 :(得分:1)

如果它们在同一台机器上运行,通常的做法是将servlet正在进行的业务工作重构为另一个Java类,然后可以由EJB和servlet导入/使用它。

答案 2 :(得分:1)

您可以在用于部署servlet应用程序的Application Server中创建用户凭据,并使用该用户保护应用程序(例如使用BASIC auth):

<security-constraint>
  <web-resource-collection>
    <web-resource-name>
      Entire Application
    </web-resource-name>
    <url-pattern>/*</url-pattern>
  </web-resource-collection>
  <auth-constraint>
      <role-name>member</role-name>
  </auth-constraint>
</security-constraint>

然后,您可以使用EJB中的身份验证。