Tomcat容器管理之安全防护
当我们对Web应用程序中受保护的资源进行控制时,可以通过两种方式来实现:第一种方式就是通过应用程序管理的安全防护,如编写安全验证代码;第二种方式就是通过Tomcat容器管理的安全防护。下面我们将对第二种方式进行简单的介绍。领域
要使用Tomcat的容器管理的安全防护机制,就须要设定领域(Realm)。领域是用户、密码及角色的集合。Web应用程序可以在/WEB-INF/web.xml 中进行设置,设定哪些用户组可以访问哪些资源,Tomcat管理员可以使用一个或多个领域来获取用户、密码及角色信息。Tomcat含有4种领域实现:UserDatabaseRealm,JDBCRealm,JNDIRealm,JAARealm。Java开发者可以创建额外的领域实现,以便作为与其用户和密码的接口。如欲指定应该使用何种领域,请在$CATALINA_HOME/conf/server.xml中插入Realm元素(或者在/META-INF/context.xml),其中className属性设定你想使用的领域,然后通过该实现的自定义属性以提供此领域相关的配置信息:
注意:Tomcat的Realm API无法用来添加或移除用户,这不是Realm接口的一部分。因此需要自己想办法来添加或从领域中移除用户,除非您决定使用的领域刚好实现了这些功能。
UserDatabaseRealm(tomcat默认领域)
它是从静态文件加载到内存中的,直到Tomcat停止后才从内存中清除。也就是说,权限文件只会在启动时读取一次。在UserDatabaseRealm中分配权限的默认文件为$CATALINA_HOME/conf目录中的tomcat-users.xml。如果更改了其中的配置,需要重启Tomcat。tomcat-users.xml是此领域的关键,根元素是tomcat-users,而且只能使用role及user元素。每个role元素只有一个属性:rolename。每个user元素有3个属性:username,password及roles,如图所示。
UserDatabaseRealm
这是使用关系数据库的领域。用户、密码及角色都保存在数据库中,而JDBCRealm会马上访问他们。例如,假设现成的管理软件在关系数据库的数据表中新增一个账号,JDBCRealm就会立刻访问它。
JNDIRealm
如果需要让Tomcat从LDAP目录中取得用户名、密码及角色,则可以使用此领域。JNDIRealm是非常有弹性的Realm实现,可以依据用户名、密码及角色的LDAP目录来验证用的省份,同时还允许该数据库用于许多不同的模式布局。JNDIRealm可以递归地搜寻LDAP的层次目录,直到找到所需的信息为止,或者可以设定在目录服务器的特定位置中寻找。
JAASRealm
JAASRealm是经由JAAS(Java Authentication and Authorization Service,Java验证与授权服务)验证用户的一种领域实现。JAAS实现了标准的“可插入式验证模块”(PAM)架构,此架构可让应用程序独立于验证实现之外。可以不经修改应用在程序本身而只需稍微修改应用程序的配置设定,在应用程序中插入全新或更新的验证实现。
容器管理的安全防护
当我们访问受保护的资源时,容器管理的验证方法可以控制确认用户身份的方式。Tomcat支持四种容器管理的安全防护,而每种类型都以不同的方式取得身份:
[*]基本验证 通过HTTP验证,需要提供base64编码文本的用户口令。
[*]摘要验证 通过HTTP验证,需要提供摘要编码字符串的用户口令。
[*]表单验证 在网页的表单上要求提供用户密码。
[*]Client-cert验证 以客户端数字证书来确认用户的身份。
前三种验证方式类似而且比较简单,第4种验证方式可以参考相关书籍,我们以表单验证来说明前3种的使用方法,另外领域采用JDBCRealm。
[*]在/META-INF下新建context.xml,代码如下:
[*]数据库代码(参考tomcat-doc中代码)
create table users (
user_name varchar(15) not null primary key,
user_pass varchar(15) not null
);
create table user_roles (
user_name varchar(15) not null,
role_name varchar(15) not null,
primary key (user_name, role_name)
);
[*]在/WEB-INF/web.xml 中设置受保护的资源。
test
/admin/*
admin
FORM
/login.jsp
/error.jsp
admin
[*] login.jsp代码(省略了部分代码,注意其中form的action属性以及input的name属性都是固定格式)
Please Enter Your User Name:
Please Enter Your Password:
上面省略了一些文件,比如error.jsp,index.jsp等。当Tomcat容器发现未登陆用户访问受保护(/admin/*下)的资源时,就会将form-login-page下的/login.jsp显示给用户。用户输入登陆信息后,Tomcat就会通过JDBCRealm访问数据库的用户、密码及角色信息。如果验证成功则转到受保护的资源;如果用户登陆尝试失败,则form-error-page表示的error.jsp就会显示给用户。
页:
[1]