第30章 JAAS.ppt

第29章 JavaMail JavaEE5 教程 大连东软信息学院计算机系 主要内容 与安全相关的一些概念 在Weblogic中配置用户和用户组 Web应用的安全 EJB应用的安全 30.1 安全相关的基本概念 30.1.1 安全层次 验证层 负责对系统的用户进行身份验证。 授权层 负责判断使用系统的用户是否具有相应的权限。 完整性层 负责企业系统中的数据不被没有修改权限的人修改，可以使用数字签名和消息摘要等方式来完成。 审计层 主要记录与安全性相关的操作。 30.1 安全相关的基本概念 30.1.2 用户和用户组 用户对应于应用程序中的一个账号，通常具有用户名和口令。 用户组是多个用户组成的集合，通常把具有类似访问系统资源权限的一组用户定义到一个用户组中。 30.1 安全相关的基本概念 30.1.3 凭证 凭证指的是系统中用户的验证信息。 30.1 安全相关的基本概念 30.1.4 主体（Principal） 主体是被企业安全服务验证了的实体。 系统中的用户、用户组都是主体。 30.1 安全相关的基本概念 30.1.5 角色 角色是一个抽象化的逻辑概念，由应用程序开发人员定义。 每类用户具有不同的权限，每一种权限对应一个角色。 通常需要把角色映射到WebLogic Server中的实际用户或用户组。 30.1 安全相关的基本概念 30.1.6 两种类型的安全 声明性安全在应用程序的部署描述符中定义，它授权访问Java EE组件。 编程性安全是把安全性相关的代码写在程序里面。 30.1 安全相关的基本概念 30.1.7 访问控制列表(ACL) 记录了系统中每个资源可以被哪些用户访问。 30.1.8 安全区 是指用户、用户组和ACL的逻辑组合。 30.2 在WebLogic Server中配置用户和用户组 添加用户演示 添加用户组演示 30.3 Web应用的安全 Web应用程序的认证方式 基本HTTP，用户可以通过浏览器提供的功能进行认证，通过浏览器输入用户的用户名和口令，浏览器把这些信息提交给Web服务器，服务器对用户提交的信息进行验证。 HTTP摘要，这种认证方式和基本HTTP认证方式基本相同，不同的是客户端会对用户名和口令进行加密，然后再进行传输，这样安全性更高一些。 基于表单，在应用程序中可以编写认证表单，这个表单的作用和基本表单认证的作用相同，不同的是认证的界面由用户来编写。 具有安全套节字的客户验证（HTTPS），这是最安全的一种认证方式，验证需要用户提供数字证书。 30.3 Web应用的安全 30.3.1基本的HTTP认证 使用浏览器提供的功能把用户提交的用户名和口令提交给服务器 需要在配置描述器web.xml中进行配置认证方式 login-config auth-methodBASIC/auth-method realm-namedefault/realm-name /login-config web.xml中声明角色 security-role role-nameuser/role-name /security-role 30.3 Web应用的安全 30.3.1基本的HTTP认证 web.xml中配置角色与资源的对应关系 security-constraint web-resource-collection web-resource-nameSuccess/web-resource-name url-pattern/first.jsp/url-pattern http-methodGET/http-method http-methodPOST/http-method /web-resource-collection auth-constraint role-nameuser/role-name /auth-constraint /security-constraint weblogic.xml 中配置角色与用户的对应关系 security-role-assignment role-namecommon-user/role-name principal-namegroup1/principal-name /security-role-assignment 30.3 Web应用的安全 30.3.2 基于表单的认证方式 创建基本过程如下： 创建登录表单：具有Web表单的Servlet或JSP页面； 创建前言页面：作为Web应用初始启动网页的Servlet或JSP页面； 创建退出页面：注销用户的Servlet或JSP页面； 创建登录失败页面：告诉用户输入了不正确的信息； 编辑Web应用程序配置信息：修改应用程序配置文件web.xm