JSP - Безопасность

JavaServer Pages и сервлеты предоставляют веб-разработчикам несколько механизмов защиты приложений. Ресурсы декларативно защищены путем их идентификации в дескрипторе развертывания приложения и назначения им роли.

Доступно несколько уровней аутентификации, от базовой аутентификации с использованием идентификаторов и паролей до сложной аутентификации с использованием сертификатов.

Аутентификация на основе ролей

Механизм аутентификации в спецификации сервлета использует метод, называемый role-based security. Идея состоит в том, что вместо ограничения ресурсов на уровне пользователя вы создаете роли и ограничиваете ресурсы по ролям.

Вы можете определить разные роли в файле tomcat-users.xml, который находится вне домашнего каталога Tomcat в conf. Пример этого файла показан ниже -

<?xml version = '1.0' encoding = 'utf-8'?>
<tomcat-users>
   <role rolename = "tomcat"/>
   <role rolename = "role1"/>
   <role rolename = "manager"/>
   <role rolename = "admin"/>
   <user username = "tomcat" password = "tomcat" roles = "tomcat"/>
   <user username = "role1" password = "tomcat" roles = "role1"/>
   <user username = "both" password = "tomcat" roles = "tomcat,role1"/>
   <user username = "admin" password = "secret" roles = "admin,manager"/>
</tomcat-users>

Этот файл определяет простое сопоставление между username, password, и role. Обратите внимание, что у данного пользователя может быть несколько ролей; например,username = "both" находится в роли «кота» и роли «роль1».

После того, как вы определили и определили разные роли, ограничения безопасности на основе ролей могут быть наложены на разные ресурсы веб-приложения с помощью <security-constraint> элемент в web.xml файл, доступный в каталоге WEB-INF.

Ниже приведен образец записи в web.xml -

<web-app>
   ...
   <security-constraint>
      <web-resource-collection>
         <web-resource-name>SecuredBookSite</web-resource-name>
         <url-pattern>/secured/*</url-pattern>
         <http-method>GET</http-method>
         <http-method>POST</http-method>
      </web-resource-collection>
      
      <auth-constraint>
         <description>
            Let only managers use this app
         </description>
         <role-name>manager</role-name>
      </auth-constraint>
   </security-constraint>
   
   <security-role>
      <role-name>manager</role-name>
   </security-role>
   
   <login-config>
      <auth-method>BASIC</auth-method>
   </login-config>
   ...
</web-app>

Приведенные выше записи означают -

  • Любой HTTP-запрос GET или POST к URL-адресу, соответствующему / secured / *, будет подвергаться ограничению безопасности.

  • Человеку с ролью менеджера предоставляется доступ к защищенным ресурсам.

  • В login-config элемент используется для описания BASIC форма аутентификации.

Если вы попытаетесь просмотреть любой URL, включая /securityкаталог, появится следующее диалоговое окно с запросом имени пользователя и пароля. Если вы предоставите пользователю"admin" и пароль "secret", тогда у вас будет доступ к URL-адресу, соответствующему /secured/* поскольку мы определили администратора пользователя с ролью менеджера, которому разрешен доступ к этому ресурсу.

Аутентификация на основе форм

Когда вы используете метод аутентификации FORM, вы должны предоставить форму входа, чтобы запросить у пользователя имя пользователя и пароль. Ниже приводится простой кодlogin.jsp. Это помогает создать форму для той же цели -

<html>
   <body bgcolor = "#ffffff">
      
      <form method = "POST" action ="j_security_check">
         <table border = "0">
            <tr>
               <td>Login</td>
               <td><input type = "text" name="j_username"></td>
            </tr>
            <tr>
               <td>Password</td>
               <td><input type = "password" name="j_password"></td>
            </tr>
         </table>
         <input type = "submit" value = "Login!">
         
      </form>
      
   </body>
</html>

Здесь вы должны убедиться, что форма входа в систему должна содержать элементы формы с именем j_username и j_password. Действие в<form> тег должен быть j_security_check. POSTдолжен использоваться как метод формы. В то же время вам придется изменить<login-config> тег, чтобы указать метод аутентификации как FORM -

<web-app>
   ...
   <security-constraint>
      <web-resource-collection>
         <web-resource-name>SecuredBookSite</web-resource-name>
         <url-pattern>/secured/*</url-pattern>
            <http-method>GET</http-method>
            <http-method>POST</http-method>
      </web-resource-collection>
      
      <auth-constraint>
         <description>Let only managers use this app</description>
         <role-name>manager</role-name>
      </auth-constraint>
   </security-constraint>
   
   <security-role>
      <role-name>manager</role-name>
   </security-role>
   
   <login-config>
      <auth-method>FORM</auth-method>
      <form-login-config>
         <form-login-page>/login.jsp</form-login-page>
         <form-error-page>/error.jsp</form-error-page>
      </form-login-config>
   </login-config>
   ...
</web-app>

Теперь, когда вы пытаетесь получить доступ к любому ресурсу с URL /secured/*, он отобразит приведенную выше форму с запросом идентификатора пользователя и пароля. Когда контейнер видит "j_security_check"действие, он использует некоторый внутренний механизм для аутентификации вызывающего абонента.

Если вход в систему завершается успешно и вызывающий абонент имеет право доступа к защищенному ресурсу, тогда контейнер использует идентификатор сеанса для идентификации сеанса входа в систему для вызывающего с этого момента. Контейнер поддерживает сеанс входа в систему с помощью файла cookie, содержащего идентификатор сеанса. Сервер отправляет файл cookie обратно клиенту, и, пока вызывающий объект представляет этот файл cookie с последующими запросами, контейнер будет знать, кто вызывающий.

В случае сбоя входа в систему сервер отправляет обратно страницу, указанную параметром form-error-page.

Вот, j_security_check- это действие, которое приложения, использующие вход на основе формы, должны указать для формы входа. В той же форме у вас также должен быть элемент управления вводом текста с именемj_username и password input control называется j_password. Когда вы видите это, это означает, что информация, содержащаяся в форме, будет отправлена ​​на сервер, который проверит имя и пароль. Как это делается, зависит от сервера.

Проверьте реализации стандартных областей, чтобы понять, какj_security_check работает для контейнера Tomcat ..

Программная безопасность в сервлете / JSP

В HttpServletRequest объект предоставляет следующие методы, которые можно использовать для добычи информации о безопасности во время выполнения:

S.No. Метод и описание
1

String getAuthType()

В getAuthType() Метод возвращает объект String, представляющий имя схемы аутентификации, используемой для защиты сервлета.

2

boolean isUserInRole(java.lang.String role)

В isUserInRole() Метод возвращает логическое значение: true, если пользователь находится в данной роли, или false, если это не так.

3

String getProtocol()

В getProtocol()Метод возвращает объект String, представляющий протокол, который использовался для отправки запроса. Это значение можно проверить, чтобы определить, использовался ли защищенный протокол.

4

boolean isSecure()

В isSecure()Метод возвращает логическое значение, представляющее, был ли запрос сделан с использованием HTTPS. Значение true означает, что это было и соединение безопасно. Значение false означает, что запроса не было.

5

Principle getUserPrinciple()

В getUserPrinciple() Метод возвращает объект java.security.Principle, который содержит имя текущего аутентифицированного пользователя.

Например, для страницы JavaServer, которая ссылается на страницы для менеджеров, у вас может быть следующий код -

<% if (request.isUserInRole("manager")) { %>
   <a href = "managers/mgrreport.jsp">Manager Report</a>
   <a href = "managers/personnel.jsp">Personnel Records</a>
<% } %>

Проверяя роль пользователя в JSP или сервлете, вы можете настроить веб-страницу так, чтобы она показывала пользователю только те элементы, к которым он имеет доступ. Если вам нужно имя пользователя, которое было введено в форму аутентификации, вы можете вызватьgetRemoteUser в объекте запроса.