Web APplication的容器管理安全性

时间:2011-10-19 09:09:49

标签: java web-applications java-ee security

我对Container托管安全性完全陌生,需要一些帮助才能在我的Web应用程序中配置它。

我想在我的Web应用程序中限制对jsp的访问。这就是我在web.xml中配置安全性的方法

<security-constraint>
    <display-name>PrivilegedConstraint</display-name>
    <web-resource-collection>
        <web-resource-name>JSP Files</web-resource-name>
        <description>All the jsp files in the web application</description>
        <url-pattern>*.jsp</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <description/>
        <role-name>PrivilegedRole</role-name>
    </auth-constraint>
    <user-data-constraint>
        <description/>
        <transport-guarantee>NONE</transport-guarantee>
    </user-data-constraint>
</security-constraint>
<login-config>
    <auth-method>BASIC</auth-method>
    <realm-name>BasicRealm</realm-name>
</login-config>
<security-role>
    <description>This is a privileged role. Has access to everything in the web app</description>
    <role-name>PrivilegedRole</role-name>
</security-role>

我的问题是:

login-config元素中realm-name的用途是什么? 我在哪里配置用户名,密码并将用户映射到角色?

当我尝试访问我的Web应用程序中的jsp时,我会被要求输入用户名和密码。我在那里放什么?这种安全机制如何运作?

我对安全性完全陌生,所以如果有人可以给我一篇很好的文章来解释配置安全性的基础知识及其实际工作方式,我将不胜感激?

1 个答案:

答案 0 :(得分:4)

  

问:“login-config元素中域名的目的是什么?”

来自Java EE 6 tutorial

  

领域是为Web或应用程序服务器定义的安全策略域。领域包含一组用户,可能会也可能不会分配给组。

当前Servlet 3.0 spec中定义的行为:

  

HTTP基本身份验证,基于用户名和密码,   是HTTP / 1.0规范中定义的身份验证机制。   Web服务器请求Web客户端对用户进行身份验证。作为一部分   对于请求,Web服务器传递其中的域(字符串)   用户将被认证。 Web客户端获取用户名   和来自用户的密码,并将它们传输到Web服务器。   然后,Web服务器对指定领域中的用户进行身份验证。


  

问:“我在哪里配置用户名,密码并将用户映射到角色?”

这是特定于容器的。也就是说,每个服务器供应商都可以自由定义如何定义用户/组以及如何配置此信息。通常有多种方法可以做到这一点。

用户和组通常在目录中定义。然后,服务器配置为使用此目录,管理员将在部署时映射应用程序角色。

开发人员Tomcat测试服务器可能使用平面文件;生产WebSphere服务器可能通过LDAP挂接到公司的Exchange目录。

有关详细信息,请参阅服务器文档。


您可能会比遵循Netbeans和Glassfish的Oracle Java EE 6教程更糟糕,但请注意该供应商产品特有的步骤。