《Java EE 7精粹》—— 2.7 安全
本节书摘来异步社区《Java EE 7精粹》一书中的第2章,第2.7节,作者:【美】Arun Gupta,更多章节内容可以访问云栖社区“异步社区”公众号查看。
2.7 安全Servlet通常通过互联网访问,因此其安全需求是通用的。可以使用注解或在web.xml中指定Servlet的安全模型,包括角色、访问控制和认证要求。
@ServletSecurity注解用于指定Servlet的实现类的所有方法或特定的doXXX()方法的安全约束。容器将强制执行相应的doXXX()消息只能由指定角色的用户调用:
在这段代码中,@HttpMethodConstraint注解用于指定doGet()方法可以由R2角色的用户调用,doPost()方法可以由R3和R4角色的用户调用。在@HttpConstraint注解用于指定所有其他方法可以由R1角色的用户调用。角色被映射到安全主体或容器组中。
安全约束也可以在web.xml中的元素中指定。在中,元素用于指定HTTP操作和网络资源的约束,元素用于指定允许访问该资源的角色,元素在其子元素中表明客户端和服务器之间的数据应该以何种方式加以保护:
这个部署描述符只要求/account/*路径下的GET方法是被保护的。该方法只能由manager角色的用户访问,数据传输的约束是INTEGRITY。除了GET方法,其他的所有HTTP方法是不受保护的。
如果HTTP方法没有在security-constraint中列举,由约束定义的保护适用于全部的HTTP(扩展)方法:
在这段代码中,所有的HTTP方法在/account/*路径下都受保护。
当中至少列出一个元素时,没有在该中列出的HTTP协议方法在Servlet 3.1中被定义为未保障的(uncovered):
在这个代码片段中,只有HTTP GET方法是受保护的,而所有其他的HTTP协议方法,如POST和PUT是未保障的。
元素用于指定不受约束保护的HTTP方法清单:
在这段代码中,只有HTTP GET方法是不受保护的,而所有其他的HTTP协议方法受保护。
元素,是Servlet 3.1中的新元素,用于拒绝对未保障的HTTP方法的HTTP方法请求。被拒绝的请求返回一个403(SC_FORBIDDEN)状态码:
在这段代码中,元素确保HTTP GET调用时所需的安全认证,而所有其他的HTTP方法被拒绝,HTTP状态码为403。
@RolesAllowed注解、@DenyAll注解、@PermitAll和@TransportProtected注解提供了另一种为特定的资源或资源方法指定安全角色的方式:
如果注解在类和方法两个级别指定,在该方法中指定的注解覆盖在类中指定的。
Servlet 3.1引入了以下两个新的预定义角色。
匹配任意已定义的角色。 ** 匹配任意认证用户的独立角色。相比在一个特定的角色上指定而言,这使得可以在一个更高的层次上指定安全约束。
最多可以在目标上指定一个@RolesAllowed、@DenyAll或者@PermitAll注解。@TransportProtected注解可以和@RolesAllowed或@PermitAll注解组合使用。
Servlet可以配置为HTTP基本认证、HTTP摘要认证、HTTPS客户端,以及基于表单的认证:
这段代码显示了如何实现基于表单的身份验证。登录表单必须包含输入用户名和密码字段,字段必须分别命名为j_username和j_password。表单的action总是命名为j_security_check。
Servlet的3.1要求密码表单字段的属性autocomplete="off",进一步加强基于Servlet表单的安全性。
HttpServletRequest还提供了编程式的安全方法login()、logout()和authenticate()。
login()方法验证在密码验证领域(具体到一个容器)中提供为ServletContext配置的用户名和密码。这确保了getUserPrincipal()方法、getRemoteUser()方法和getAuthType()方法的返回值有效。login()方法可以作为基于表单登录的替代方法。
authenticate()方法使用为ServletContext配置的容器登录机制来验证当前请求的用户。
【Java技术专题】「盲点追踪」突破知识盲点分析Java安全管理器(SecurityManager) Java安全应该包括两方面的内容,一是Java平台(即是Java运行环境)的安全性;二是Java语言开发的应用程序的安全性。由于我们不是Java本身语言的制定开发者,所以第一个安全性不需要我们考虑。其中第二个安全性是我们重点考虑的问题,一般我们可以通过安全管理器机制来完善安全性,安全管理器是安全的实施者,可对此类进行扩展,它提供了加在应用程序上的安全措施,通过配置安全策略文件达到对网络、本地文件和程序其它部分的访问限制的效果。
异步社区 异步社区(www.epubit.com)是人民邮电出版社旗下IT专业图书旗舰社区,也是国内领先的IT专业图书社区,致力于优质学习内容的出版和分享,实现了纸书电子书的同步上架,于2015年8月上线运营。公众号【异步图书】,每日赠送异步新书。
相关文章
- Java依照List内存储的对象的某个字段进行排序
- 【JAVA】在java类中连接和读取mysql数据库的实例(控制台显示)
- Java多线程系列—线程安全问题(06)
- 深度剖析Java集合之EnumSet
- java线程面试题及答案线程安全线程锁线程
- Java集合框架的知识总结(1)
- Java实现RSA与DES加解密代码
- java 有用的类库
- 《Java学习指南》—— 1.4 设计安全
- 基于Java+MySQL 实现(Web)动态人脸识别的认证识别系统【100010315】
- java中volatile关键字的含义--volatile并不能做到线程安全
- 【转】学多少年才算“精通Java”
- java惯用法转载
- Java 设计模式之装饰模式,Java 装饰模式,java装饰模式和代理模式的区别
- java安全编码指南之:序列化Serialization
- Java_解决java.security.cert.CertificateException: Certificates does not conform to algorithm constraints
- 浅析Java对集合进行操作时报java.util.ConcurrentModificationException并发修改异常问题:产生原因、单线程/多线程环境解决、CopyOnWriteArrayList线程安全的ArrayList、fail-fast快速失败机制防止多线程修改集合造成并发问题
- java jodd轻量级开发框架
- 华为OD机试 -流水线(Java) | 机试题+算法思路+考点+代码解析 【2023】
- Mongodb安全认证及Java调用
- 深入分析Java内存泄漏
- Java线程安全容器
- Java //EX2.16 设page是Graphics类的一个对象,编写一条语句画一个高70宽35的矩形,并且左上角的坐标为(10,15)
- Java Collections