JSP - Güvenlik

JavaServer Sayfaları ve sunucu uygulamaları, uygulamaların güvenliğini sağlamak için Web geliştiricilerine çeşitli mekanizmalar sunar. Kaynaklar, uygulama dağıtım tanımlayıcısında tanımlanarak ve bunlara bir rol atanarak bildirimsel olarak korunur.

Tanımlayıcıları ve şifreleri kullanarak temel kimlik doğrulamasından, sertifika kullanarak gelişmiş kimlik doğrulamaya kadar çeşitli kimlik doğrulama düzeyleri mevcuttur.

Rol Tabanlı Kimlik Doğrulama

Sunucu uygulaması spesifikasyonundaki kimlik doğrulama mekanizması, role-based security. Buradaki fikir, kaynakları kullanıcı düzeyinde kısıtlamak yerine roller yaratır ve kaynakları role göre kısıtlarsınız.

Dosyada farklı roller tanımlayabilirsiniz tomcat-users.xml, Tomcat'in ana dizininin dışında conf. Bu dosyanın bir örneği aşağıda gösterilmiştir -

<?xml version = '1.0' encoding = 'utf-8'?>
<tomcat-users>
   <role rolename = "tomcat"/>
   <role rolename = "role1"/>
   <role rolename = "manager"/>
   <role rolename = "admin"/>
   <user username = "tomcat" password = "tomcat" roles = "tomcat"/>
   <user username = "role1" password = "tomcat" roles = "role1"/>
   <user username = "both" password = "tomcat" roles = "tomcat,role1"/>
   <user username = "admin" password = "secret" roles = "admin,manager"/>
</tomcat-users>

Bu dosya, aşağıdakiler arasında basit bir eşlemeyi tanımlar: username, password, ve role. Belirli bir kullanıcının birden çok rolü olabileceğine dikkat edin; Örneğin,username = "both" "tomcat" rolünde ve "role1" rolünde.

Farklı rolleri tanımlayıp tanımladıktan sonra, rol tabanlı güvenlik kısıtlamaları farklı Web Uygulama kaynaklarına yerleştirilebilir. <security-constraint> eleman web.xml dosyası WEB-INF dizininde mevcuttur.

Aşağıda web.xml'de örnek bir giriş yer almaktadır -

<web-app>
   ...
   <security-constraint>
      <web-resource-collection>
         <web-resource-name>SecuredBookSite</web-resource-name>
         <url-pattern>/secured/*</url-pattern>
         <http-method>GET</http-method>
         <http-method>POST</http-method>
      </web-resource-collection>
      
      <auth-constraint>
         <description>
            Let only managers use this app
         </description>
         <role-name>manager</role-name>
      </auth-constraint>
   </security-constraint>
   
   <security-role>
      <role-name>manager</role-name>
   </security-role>
   
   <login-config>
      <auth-method>BASIC</auth-method>
   </login-config>
   ...
</web-app>

Yukarıdaki girişler şu anlama gelir:

  • / Secured / * ile eşleşen bir URL'ye yönelik herhangi bir HTTP GET veya POST isteği, güvenlik kısıtlamasına tabi olacaktır.

  • Yönetici rolüne sahip bir kişiye, güvenli kaynaklara erişim verilir.

  • login-config öğesi açıklamak için kullanılır BASIC kimlik doğrulama şekli.

Şunlar dahil herhangi bir URL'ye göz atmayı denerseniz /securitydizininde, kullanıcı adı ve parola isteyen aşağıdaki iletişim kutusu görüntülenecektir. Bir kullanıcı sağlarsanız"admin" ve şifre "secret", sonra ile eşleşen URL'ye erişiminiz olacak /secured/* Bu kaynağa erişmesine izin verilen yönetici rolüne sahip kullanıcı yöneticisini tanımladığımızdan.

Form Tabanlı Kimlik Doğrulama

FORM kimlik doğrulama yöntemini kullandığınızda, kullanıcıdan bir kullanıcı adı ve parola istemek için bir oturum açma formu sağlamanız gerekir. Aşağıdaki basit bir koddurlogin.jsp. Bu, aynı amaç için bir form oluşturmaya yardımcı olur -

<html>
   <body bgcolor = "#ffffff">
      
      <form method = "POST" action ="j_security_check">
         <table border = "0">
            <tr>
               <td>Login</td>
               <td><input type = "text" name="j_username"></td>
            </tr>
            <tr>
               <td>Password</td>
               <td><input type = "password" name="j_password"></td>
            </tr>
         </table>
         <input type = "submit" value = "Login!">
         
      </form>
      
   </body>
</html>

Burada, giriş formunun adlı form öğelerini içermesi gerektiğinden emin olmalısınız j_username ve j_password. Eylem<form> etiket olmalı j_security_check. POSTform yöntemi olarak kullanılmalıdır. Aynı zamanda,<login-config> kimlik doğrulama yöntemini FORM olarak belirtmek için etiket -

<web-app>
   ...
   <security-constraint>
      <web-resource-collection>
         <web-resource-name>SecuredBookSite</web-resource-name>
         <url-pattern>/secured/*</url-pattern>
            <http-method>GET</http-method>
            <http-method>POST</http-method>
      </web-resource-collection>
      
      <auth-constraint>
         <description>Let only managers use this app</description>
         <role-name>manager</role-name>
      </auth-constraint>
   </security-constraint>
   
   <security-role>
      <role-name>manager</role-name>
   </security-role>
   
   <login-config>
      <auth-method>FORM</auth-method>
      <form-login-config>
         <form-login-page>/login.jsp</form-login-page>
         <form-error-page>/error.jsp</form-error-page>
      </form-login-config>
   </login-config>
   ...
</web-app>

Şimdi herhangi bir kaynağa erişmeye çalıştığınızda URL /secured/*, kullanıcı kimliği ve şifresini soran yukarıdaki formu gösterecektir. Kapsayıcı "j_security_check"eylem, arayanın kimliğini doğrulamak için bazı dahili mekanizmalar kullanır.

Oturum açma başarılı olursa ve arayan kişi güvenli kaynağa erişim yetkisine sahipse, o noktadan sonra konteyner, arayan için bir oturum açma oturumu tanımlamak için bir oturum kimliği kullanır. Kap, oturum kimliğini içeren bir tanımlama bilgisi ile oturum açma oturumunu korur. Sunucu, çerezi müşteriye geri gönderir ve arayan bu çerezi sonraki isteklerle birlikte sunduğu sürece, kapsayıcı arayanın kim olduğunu bilecektir.

Oturum açma başarısız olursa, sunucu form-error-page ayarı ile tanımlanan sayfayı geri gönderir.

Buraya, j_security_checkform tabanlı oturum açma kullanan uygulamaların oturum açma formu için belirtmesi gereken eylemdir. Aynı biçimde, adında bir metin giriş denetiminiz de olmalıdır.j_username ve bir password input control aranan j_password. Bunu gördüğünüzde, formda yer alan bilgilerin sunucuya gönderileceği, isim ve şifreyi kontrol edeceği anlamına gelir. Bunun nasıl yapıldığı sunucuya özeldir.

Nasıl olduğunu anlamak için Standart Bölge Uygulamalarını kontrol edinj_security_check Tomcat konteyner için çalışıyor ..

Bir Sunucu Uygulamasında / JSP'de Programatik Güvenlik

HttpServletRequest nesnesi, çalışma zamanında güvenlik bilgileri araştırmak için kullanılabilecek aşağıdaki yöntemleri sağlar -

S.No. Yöntem ve Açıklama
1

String getAuthType()

getAuthType() yöntem, Servlet'i korumak için kullanılan kimlik doğrulama şemasının adını temsil eden bir String nesnesi döndürür.

2

boolean isUserInRole(java.lang.String role)

isUserInRole() yöntem bir boole değeri döndürür: kullanıcı verilen roldeyse true, değilse false.

3

String getProtocol()

getProtocol()yöntem, isteği göndermek için kullanılan protokolü temsil eden bir String nesnesi döndürür. Bu değer, güvenli bir protokolün kullanılıp kullanılmadığını belirlemek için kontrol edilebilir.

4

boolean isSecure()

isSecure()yöntem, isteğin HTTPS kullanılarak yapılıp yapılmadığını temsil eden bir boole değeri döndürür. True değeri, bunun olduğu ve bağlantının güvenli olduğu anlamına gelir. Yanlış değeri, isteğin olmadığı anlamına gelir.

5

Principle getUserPrinciple()

getUserPrinciple() yöntem, kimliği doğrulanmış geçerli kullanıcının adını içeren bir java.security.Principle nesnesi döndürür.

Örneğin, yöneticiler için sayfalara bağlanan bir JavaSunucusu Sayfası için aşağıdaki koda sahip olabilirsiniz -

<% if (request.isUserInRole("manager")) { %>
   <a href = "managers/mgrreport.jsp">Manager Report</a>
   <a href = "managers/personnel.jsp">Personnel Records</a>
<% } %>

Kullanıcının bir JSP veya sunucu uygulamasındaki rolünü kontrol ederek, Web sayfasını kullanıcıya yalnızca erişebileceği öğeleri gösterecek şekilde özelleştirebilirsiniz. Kimlik doğrulama formuna girildiği şekliyle kullanıcı adına ihtiyacınız varsa,getRemoteUser yöntem istek nesnesinde.