J2EE的安全认证机制[Java编程]

实现Web利用程序的安全机制是Web利用程序的计划人员和编程人员必须面对的任务.在J2EE中,Web容器支持利用程序内置的安全机制.

Web利用程序的安全机制有二种组件:认证和受权.基于J2EE的Web容器供应三种范例的认证机制:基本认证、基于表单的认证、彼此认证.由于可以对认证用户界面举行定制,大大都的Web利用程序都利用基于表单的认证.Web容器利用在Web利用程序的布置描写符中定义的安全角色对利用程序的Web资源的拜候举行受权.

在利用基于表单的认证机制中,利用程序的计划人员和开辟人员会碰到3类问题:

·基于表单的认证若何与数据库和LDAP等其他范畴的安全机制协同工作.（这是非常必要的,因为很多组织已经在数据库和LDAP表单中实现了认证机制.）

·如安在Web利用程序的布置描写符（web.xml）中增添或删除军政府的受权角色.

·Web容器在Web资源层次上举行受权;利用程序则需求在单一的Web资源中履行功效层次上的受权.

固然有很多与基于表单的认证有关的文档和例子,但都没有可以阐明这一问题.因此,大大都的利用程序都以自己的方法襀安全机制.

本篇文章阐明了基于表单的认证若何与其他方面的安全机制,特别是数据库中的安全机制合作的问题.它还注释了Web窗口若何利用安全角色履行受权以及利用程序若何扩大这些安全角色,保护Web资源中的功效.

基于表单的认证

基于表单的认证可以使开辟人员定制认证的用户界面.web.xml的login-config小节定义了认证机制的范例、登录的URI和错误页面.

＜login-config＞

＜auth-method＞FORM＜/auth-method＞

＜form-login-config＞

＜form-login-page＞/login.jsp＜/form-login-page＞

＜form-error-page＞/fail_login.html＜/form-error-page＞

＜/form-login-config＞

＜/login-config＞

登录表单必须包含输入用户姓名和口令的字段,它们必须被辨别命名为j_username和j_password,表单将这二个值发送给j_security_check逻辑名字.

下面是一个该表单如安在HTML网页中实现的例子:

＜form method="POST" action="j_security_check"＞
＜input type="text" name="j_username"＞
＜input type="password" name="j_password"＞
＜/form＞

除非全部的衔接都是在SSL上实现的,该表单可以泄露用户名和口令.当受保护的Web资源被拜候时,Web容器就会激活为该资源配置的认证机制.

为了实现Web利用程序的安全,Web容器履行下面的步骤:

1、在受保护的Web资源被拜候时,判断用户能否被认证.

2、假如用户没有得到认证,则通太重定向到布置描写符中定义的注册页面,要求用户供应安全信任状.

3、按照为该容器配置的安全范畴,确认用户的信任状有效.

4、判断得到认证的用户能否被受权拜候布置描写符（web.xml）中定义的Web资源.

　　以上是“J2EE的安全认证机制[Java编程]”的内容，如果你对以上该文章内容感兴趣，你可以看看七道奇为您推荐以下文章：