神马文学网WCF在线 - TOMCAT的安全域(Realm)
来源:百度文库 编辑:神马文学网 时间:2024/10/07 01:38:25
作者: wchfei 2007-08-04 安全域是Tomcat服务器用来保护Web应用的资源的一种机制。在安全域中可以配置安全验证信息,即用户信息(包括用户名和口令)以及用户和角色的映射关系。每个用户可以拥有一个或多个角色,每个角色拥有不同的可以访问的Web资源。一个用户可以访问其拥有的所有角色对应的Web资源。
引入角色的原因:角色一方面代表一系列用户,另外一方面可以代表一系列权限,因此可以说是用户和权限的结合体。引入角色的概念主要是为了分离用户和访问权限的直接联系。用户与访问权限的直接组合可能是短暂的,而角色则可以相对稳定,这样用户的变化只要涉及到角色就可以,无需考虑权限。而权限的变化只涉及到角色,无需考虑用户或用户组。
安全域是Tomcat的内置功能,在org.apache.catalina.Realm接口中声明了把一组用户名、口令及所关联的角色集成到Tomcat中的方法。Tomcat 5提供了4个实现这一接口的类,它们分别代表了五种安全域类型:
安全域类型
类名
描述
内存域
MemoryRealm
在初始化阶段,从XML文件中读取安全认证信息,并把它们以一组对象的形式存放在内存中
JDBC域
JDBCRealm
通过JDBC驱动程序访问存放在数据库中的安全验证信息
数据源域
DataSourceRealm
通过JNDI数据源访问存放在数据库中的安全验证信息
JNDI域
JNDIRealm
通过JNDI provider访问存放在基于LDAP的目录服务器中的安全验证信息。
JAAS域
JAASRealm
通过JAAS的安全授权API,实现自己的安全认证机制
要达到保护Web资源需要涉及到配置一些文件,但不管配置哪一种安全域,一般都包含以下步骤:
(1)为Web资源设置安全约束,通过为Web资源设置安全约束,可以指定某种Web资源可以被哪些角色访问。这个设置需要在Web应用的web.xml文件中加入
//标识受保护的Web资源
//可以访问受保护资源的角色,可以包含多个角色
FORM//指定验证方法。它有三个可选值:BASIC(基本验证)、DIGEST(摘要验证)、FORM(基于表单的验证)。
以上安全约束代码指定了tomcat角色才能访问admin应用中的*.jsp、*.do、*.htm、*.html资源。
基本验证
如果采用基本验证,当客户访问受保护的资源时,浏览器会先弹出一个对话框,要求用户输入用户名和密码,如果输入正确,Web服务器就允许他访问这些资源;否则,在连接3次尝试失败后,会显示一个错误信息页面。这个方法的缺点是把用户名和密码从客户端传送到Web服务器时,在网络上传送的数据采用Base64编码(全是可读文本),因此这种验证方法不是非常安全。可以采用一些安全措施来克服这个弱点。例如在传输层上应用SSL(安全套接层(Secure Sockets Layer)为验证过程提供了数据加密,服务器端认证,信息真实性等方面的安全保证。在此验证方式中,客户端必须提供一个公钥证书,你可以把这个公钥证书看作是你的数字护照。公钥证书也称数字证书,它是被称作证书授权机构(CA)——一个被信任的组织颁发的。这个数字证书必须符合X509公钥体系结构(PKI)的标准。如果你指定了这种验证方式,Web服务器将使用客户端提供的数字证书来验证用户的身份。)或者在网络层上使用IPSEC或VPN技术。
摘要验证
摘要验证与基本验证的不同在于:摘要验证不会在网络中直接传输用户密码,而是首先采用MD5(Message Digest Algorithm)对用户密码进行加密,然后传输加密后的数据,所有这种方法显得更为安全。
基于表单的验证
基于表单的验证使系统开发者可以自定义用户的登陆页面和报错页面。用户在表单中填写用户名和密码,而后密码以明文形式在网路中传递,如果在网路的某一节点将此验证请求截获,在经过反编码很容易就可以获取用户的密码。因此在使用基本HTTP的验证方式和基于表单的验证方法时,一定确定这两种方式的弱点对你的应用是可接受的。但有个规定:用户名对应的文本框必须命名为:j_username,密码对应的文本框必须命名为:j_password,并且表单的aciton的值必须为:j_security_check。
下面分别介绍4种安全域:
1、内存域(MemoryReal)
内存域是由org.apache.catalina.realm.MemoryRealm类来实现的。MermoryRealm从一个XML文件中读取用户信息。默认情况下,该XML文件为tomcat安装目录的conf/tomcat_users.xml。
在这个文件中定义了每个用户拥有的角色。
要采用这个类型的安全域进行web资源保护的设置步骤为:
(1) 按上面的步骤在你的应用程序的web.xml中配置安全约束,可以采用三种验证(Basic、Digest、基于表单(Form))中的任一种。
(2) 在tomcat_user.xml文件中定义用户、角色以及两者的映射关系。
(3) 在server.xml中加入相应的
2、JDBC域
JDBCRealm通过JDBC驱动程序访问存放在关系型数据库中的安全认证信息,JDBC域使得安全配置非常灵活。当修改了数据库中的安全认证信息后,不必重启tomcat服务器(两者是相互独立的)。
当用户第一次访问受保护的资源时,Tomcat将调用Reaml的authenticate()方法,该方法从数据库中读取最新的安全认证信息。该用户通过认证之后,在用户访问Web资源期间,用户的各种验证信息被保存在缓存中。
JDBC域设置步骤为:
(1)、按上面的步骤在你的应用程序的web.xml中配置安全约束,可以采用三种验证(Basic、Digest、基于表单(Form))中的任一种。
(2)、创建数据库和创建两张表:users(定义用户信息,包括用户名和口令)和users_roles(定义用户和角色的映射关系)。
(3)、将所用的数据库驱动程序拷贝到Tomcat安装目录下/common/lib中。
(4)、配置
connectionURL=”jdbc:mysql://localhost/database” //数据库的URL
connectionName=”admin” connectionPassword=”8888” //数据库连接的用户名和口令
userTable=”users” userNameCol=”user_name” userCredCol=”user_pass”//指定用户表
userRoleTable=”user_roles” roleNameCol=”role_name” />//指定用户和角色映射关系表
3、DataSource域
DataSource域和JDBCRealm域的两者的不同是访问数据库的方式不一样:DataSource通过
JNDI来访问数据库。而JDBCRealm通过JDBC驱动程序来访问数据库。
区别:通过JDBC API连结数据库是一种最原始、最直接的方法。而DataSource封装了通过JDBC API来连结数据库的细节,它采用数据库连结池机制,把可用的数据库连结保存在缓存中,避免每次访问数据库都建立数据库连结,这样可以提高访问数据库的效率。
适用场合: 在任何Java应用中,都可以直接通过JDBC API连结数据库,如果需要的话,可以手工编程实现数据库连结池。当Java应用运行在JavaWeb容器或EJB容器中时,可以优先考虑使用由容器提供的DataSource。以Tomcat容器为例,DataSource实例被作为JNDI资源发布到Tomcat容器中,Tomcat容器负责维护DataSource实例的生命周期,Java Web应用通过JNDI来获得DataSource实例的引用。
JNDI(The Java Naming and Directory Interface,Java命名和目录接口)是一组在Java应用中访问命名和目录服务的API。命名服务将名称和对象联系起来,使得我们可以用名称访问对象。目录服务是一种命名服务,在这种服务里,对象不但有名称,还有属性。
DataSource域配置步骤:
(1)、按上面的步骤在你的应用程序的web.xml中配置安全约束,可以采用三种验证(Basic、Digest、基于表单(Form))中的任一种。
(2)、创建数据库和创建两张表:users(定义用户信息,包括用户名和口令)和users_roles(定义用户和角色的映射关系)。
(3)、将所用的数据库驱动程序拷贝到Tomcat安装目录下/common/lib中。
(4)、数据源的配置
数据源的配置涉及修改server.xml和web.xml文件。
A、 在server.xml中
……
……
type="javax.sql.DataSource"/> //指定Resource所属的java类名
注意:Tomcat的JNDI资源必须配置在
connectionURL="jdbc:mysql://localhost/tomcatusers"
connectionName="admin" connectonPassword=""
userTable="users" userNameCol="user_name" userCredCol="user_pass"
userRoleTable="user_roles" roleNameCol="role_name"/>
Context ctx = new Context();
DatatSource ds = (DataSource)ctx.lookup(“java:comp/env/jdbc/TestDB”);
Connection conn = ds.getConnection();
java:comp/env代表你的JVM的环境
4、JNDIRealm
JNDI Directory Realm将Catalina连接到一个LDAP目录,通过正确的JNDI驱动访问。LDAP目录存储了用户名,密码以及他们相应的角色。LDAP(轻量级目录访问协议)的英文全称是Lightweight Directory Access Protocol,LDAP是用来访问存储在信息目录(也就是LDAP目录)中的信息的协议。更为确切和正式的说法应该是 “通过使用LDAP,可以在信息目录的正确位置读取(或存储)数据”。LDAP最大的优势是:可以在任何计算机平台上,用很容易获得的而且数目不断增加的LDAP的客户端程序访问LDAP目录。而且也很容易定制应用程序为它加上LDAP的支持。
JNDI Realm支持许多使用LDAP进行认证的方法:
a、realm可以使用模式来决定用户目录条目的唯一名字(distinguished name),或者搜索目录来定位该条目;
b、realm可以将用户条目的唯一名字和用户给出的密码绑定到目录上,对用户进行认证;或者,从用户条目中取出密码,在本地进行比较;
c、在目录中,角色可以以单独的条目存在(比如,用户所属的组条目),或者,角色可以是用户条目的一个属性,或者两种情况都是;
除了到目录的连接,用户从目录中获取信息的元素和属性名称以外,Directory Realm还支持很多其他的附加属性:
属性 描述
authentication 使用的认证类型,字符串类型。可以是“none”,“simple”,“strong”或者提供者定义的其他类型,如果没有值,使用提供者提供的缺省值。
connectionName 创建目录连接使用的目录用户名。如果没有指定,使用匿名连接,这在大多数情况下就足够了,除非你指定了userPassword属性
connectionPassword 创建目录连接使用的目录密码。如果没有指定,使用匿名连接,这在大多数情况下就足够了,除非你指定userPassword属性。
connectionURL 创建目录连接时,传递给JNDI驱动的连接URL。
contextFactory 用来取得JNDI InitialContext的工厂类的Java类名。缺省情况下,假定使用标准的JNDI LDAP提供者。
protocol 使用的安全协议。如果没有指定,使用提供者提供的缺省值。
roleBase 用于角色查找的基准目录条目。如果没有指定,使用目录上下文的顶级元素。
roleName 在角色查找中,包含角色名的属性的名称。另外,在用户条目中,你可以使用userRoleName来指定包含额外角色名的属性名称,。如果没有指定,不搜索角色,角色存在于用户条目中。
roleSearch 用来进行角色查找的LDAP过滤器表达式。使用{0}来代替用户的唯一名称,{1}来代替用户名。如果没有指定,不对角色进行搜索,角色从用户条目中由userRoleName指定的属性得到。
roleSubtree 在查找与用户相关联的角色时,如果想搜索由roleBase属性指定的元素的整个子树,设为true。缺省值为false,只对顶级元素进行搜索。
userBase 在使用userSearch表达式搜索用户的时候的基准元素。如果使用userPattern表达式进行搜索,不使用这个属性。
userPassword 在用户条目中包含用户密码的属性名。如果指定了这个值,JNDIRealm使用connectionName和connectionPassword属性指定的值绑定到目录,取出对应的属性,与被认证的用户给出的值进行比较。如果不指定这个值,JNDIRealm会尝试使用用户条目的唯一名称和用户给出的密码绑定到目录,如果绑定成功,说明认证成功。
userPattern 用户目录条目的唯一名称的模式,{0}代表实际的用户名。在唯一名称包含用户名,其他的项都相同的时候,可以使用这个属性,而不是使用userSearch,userSubtree和userBase.
userRoleName 用户目录条目中的一个属性名,该属性包含了零个或多个指定给用户的角色名的值。另外,如果角色以单独的条目存在,可以使用roleName属性来指定属性名,在搜索目录的时候,可以得到这个属性。
如果不指定userRoleName,用户的所有角色通过角色搜索得到;
userSearch 搜索用户目录条目时,使用的LDAP过滤表达式,{0}代表实际的用户名,可以使用userSearch,userBase和userSubtree属性一起来代替userPattern搜索目录。
userSubtree 如果希望搜索由userBase属性指定的元素的整个子树,设为true,缺省值为false,即只搜索顶级元素。如果使用userPattern表达式,不使用这个属性。
5、JAASRealmJava Authentication Authorization Service(JAAS,Java验证和授权API)提供了灵活和可伸缩的机制来保证客户端或服务器端的Java程序。JAAS是一个比较新的的Java API。在J2SE 1.3中,它是一个扩展包;在J2SE 1.4中变成了一个核心包。通过实现以下两个接口:javax.security.auth.spi.LoginModule 和javax.security.Principal,你可以实现自己的安全机制。 配置的步骤:
a、实现自己的LoginMode、User和Role的类。
b、尽管不是JAAS要求,但你应该通过javax.security.Principal这个接口实现一个单独的类来区别users和roles,这样tomcat就能区分哪个Principals是users和roles返回。
C、设置login.config文件告诉tomcat去哪里找指定的JVM。
D、配置web.xml文件,和前面的配置一样。
E、在server.xml文件中加入
--------my.MyLoginModule.java---------------
package my;
import java.util.Map;
import java.security.Principal;
import javax.security.auth.login.LoginContext;
import javax.security.auth.Subject;
import javax.security.auth.callback.*;
import javax.security.auth.login.*;
import javax.security.auth.spi.LoginModule;
import java.io.IOException;
public class MyLoginModule implements LoginModule {
protected CallbackHandler callbackHandler = null;
protected boolean committed = false;
protected boolean debug = false;
protected Map options = null;
protected Principal principal = null;
protected Map sharedState = null;
protected Subject subject = null;
protected void log(String message) {
System.out.print("MyLoginModule: ");
System.out.println(message);
}
public boolean abort() throws LoginException {
log("abort");
return (true);
}
public boolean commit() throws LoginException {
log("commit phase");
// If authentication was not successful, just return false
if (principal == null){
log("no principal commit fails");
return (false);
}
if (!subject.getPrincipals().contains(principal))
subject.getPrincipals().add(principal);
// add role principals
subject.getPrincipals().add(new MyRolePrincipal("admin"));
committed = true;
log("commit succesful");
return (true);
}
public void initialize(Subject subject, CallbackHandler callbackHandler,
Map sharedState, Map options) {
// Save configuration values
this.subject = subject;
this.callbackHandler = callbackHandler;
this.sharedState = sharedState;
this.options = options;
}
public boolean login() throws LoginException {
log("login phase");
// Set up our CallbackHandler requests
if (callbackHandler == null)
throw new LoginException("No CallbackHandler specified");
Callback callbacks[] = new Callback[2];
callbacks[0] = new NameCallback("Username: ");
callbacks[1] = new PasswordCallback("Password: ", false);
// Interact with the user to retrieve the username and password
String username = null;
String password = null;
try {
callbackHandler.handle(callbacks);
username = ((NameCallback) callbacks[0]).getName();
password =
new String(((PasswordCallback) callbacks[1]).getPassword());
} catch (IOException e) {
throw new LoginException(e.toString());
} catch (UnsupportedCallbackException e) {
throw new LoginException(e.toString());
}
if (!authenticate(username,password))
return false;
principal = new MyPrincipal(username);
return true;
}
public boolean logout() throws LoginException {
subject.getPrincipals().remove(principal);
committed = false;
principal = null;
return (true);
}
boolean authenticate(String s,String p){
return (s.compareTo("jaas") == 0) && (p.compareTo("jaas") == 0);
}
static public void main(String args[]) throws Exception{
LoginContext ctx = new LoginContext("TomCatAdminApplication");
ctx.login();
}
}
------------------------------------------------
---------my/MyPrincipal.java-------------------
package my;
public class MyPrincipal implements java.security.Principal {
String m_Name = new String("");
public MyPrincipal(String name) {
m_Name = name;
}
public boolean equals(Object another) {
try {
MyPrincipal pm = (MyPrincipal)another;
return pm.m_Name.equalsIgnoreCase(m_Name);
} catch(Exception e){
return false;
}
}
public String getName() {
return m_Name;
}
public int hashCode() {
return m_Name.hashCode();
}
public String toString() {
return m_Name;
}
}
------my/MyRolePrincipal.java-------------
package my;
public class MyRolePrincipal extends MyPrincipal {
/** Creates a new instance of MyRolePrincipal */
public MyRolePrincipal(String s) {
super(s);
}
}
--------------------------------------
在 server.xml中配置