随笔-18  评论-8  文章-0  trackbacks-0

安全域
这是Tomcat服务器用来保护Web应用资源的一种机制。一个用户可以拥有一个或多个角色,每个角色限定了可访问的Web资源,这样就将用户和Web资源对应起来了。在org.apache.catalina.Realm接口中声名了将用户名、口令和角色相管理的方法,Tomcat5提供了4个实现这一接口的类,分别为:MemoryRealm(XML文件读取)、JDBCRealm(JDBC驱动程序读取)、DataSourceRealm(JNDI数据源读取)、JNDIRealm(JNDI provider读取LDAP的目录服务器信息)。

Web资源的设置
需要在web.xml文件中加入<security-constraint>、<login-config>、<security-role>元素。
例如在Tomcat的admin应用中的配置:

<security-constraint>
    <display-name>Tomcat Server Configuration Security Constraint</display-name>
    <web-resource-collection>
    <web-resource>Protected Area</web-resource>
        <url-pattern>*.htm</url-pattern>
        <url-pattern>*.jsp</url-pattern>
        <url-pattern>*.do</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <role-name>admin</role-name>
    </auth-constraint>
</security-constraint>

上面的代码表明:只有admin角色才能访问admin应用中的*.jsp、*.do和*.html资源。
另一个例子是jsp-examples应用:

<sercurity-constraint>
    <display-name>Tomcat Server Configuration Security Constraint</display-name>
    <web-resource-collection>
        <web-resource>Protected Area</web-resource>
        <url-pattern>/security/protected/*</url-pattern>
        <http-method>DELETE</http-method>
     
<http-method>GET</http-method>
     
<http-method>POST</http-method>
     
<http-method>PUT</http-method>
    </web-resource-collection>
    <auth-constraint>
        <role-name>tomcat</role-name>
     
<role-name>role1</role-name>
    
</auth-constraint>
</security-constraint>

上面的代码表明:只要tomcat和role1角色才可以以DELETE、GET、POST和GET方式访问jsp-exzmples应用URL为/security/protected/下的资源。
在web.xml中加入<login-config>元素-系统会以对话框的方式进行登陆

<login-config>
    <auth-method>FORM</auth-method>
 
<realm-name>Tomcat Configuration Form-Baseed Authenticaton Area</realm-name>
 
<from-login-config>
       
<from-login-page>/login/login.jsp</from-login-page>
    
<from-error-page>/error.jsp</from-error-page>
 
<from-login-config>
</login-config>

<auth-method>有三个可选项:BASIC、DIGEST、FORM。
BASIC-基本验证:访问受保护资源时,会弹出一对话框。要求输入用户名和密码,如果连续3次失败后,会显示一个错误页面。这个方法的缺点是用户名和密码的数据传输采用的是Base64编码(可读文本),是非常不安全的。
DIGEST-摘要验证:数据采用MD5对用户名和密码进行加密,然后再传输,显然这种方法很安全。
FORM-表单验证:可以使用自定义的登陆页面,但用户名对应的文本框名称必须是j_username,密码为j_password,且表单action值为j_security_check。
在web.xml中加入<security-role>元素-指明这个Web应用应用的所有角色的名字

<security-role>
    <description>The role that is required to lon in to the Administration Application.</description>
 
<role-name>admin</role-name>
 
<role-name>friend</role-name>
</security-role>

你可以调用HttpRequeset接口的getRemoteUser()方法返回当前用户的名字:<%=request.getRemoteUser()%>


内存域-由org.apache.catalina.realm.MemoryRelam类实现
小猫启动时,自动读取<%CATALINA_HOME%>/conf/tomcat-users.xml文件,要在Web应用中使用,可以在对应的<Context>元素内加入如下内容:<Realm className="org.apache.catalina.realm.MemoryRelam"/>

JDBC域-通过JDBC驱动从数据库中直接读取验证信息,通过验证后,信息会存储在session中。
在mysql中新建两张表:

create table users{user_name varchar(15not null primary key,user_pass varchar(15not null };
create table usr_roles{usr_name varchar(15not null,role_name varchar(15not null,
  primary key(user_name,role_name)};

然后在server.xml中加入:

<Realm className="org.apache.catalina.realm.JDBCRealm" driverName="com.mysql.jdbc.Driver" 
             debug
="0" connectionURL="jdbc:mysql://localhost/tomcatusers" connectionName="roor" 
             connectonPassword
="" userTable="users" userNameCol="user_name" 
             userCredCol
="user_pass" userRoleTable="user_roles" roleNameCol="role_name">

DataSource域-和JDBC域很类似,只不过访问数据库的方式不同,这个是使用JNDI DataSource来访问数据库的。
先在web.xml中加入安全约束,在和JDBC域一样新建两张表,然后在server.xml文件的<GlobalNamingResources>元素下添加如下内容:

<Resource name="jdbc/tomcatusers" auth="Container" type="javx.sql.DataSource"/>
<ResourceParams name="jdbc/tomcatusers">
    <parameter>
    
<name>factory</name>
    
<value>org.apache.commons.dbcp.BasicDataSourceFactory</value>
 
</parameter>
 
<parameter>
     
<name>maxActiove</name>
    
<value>100</value>
 
</parameter>
 
<parameter>
    
<name>maxIdle</name>
    
<value>30</value>
 
</parameter>
 
<parameter>
     
<name>maxWait</name>
    
<value>10000</value>
 
</parameter>
 
<parameter>
     
<name>username</name>
     
<value>root</value>
 
</parameter>
 
<parameter>
     
<name>password</name>
    
<value></value>
 
</parameter>
 
<parameter>
     
<name>driverClassName</name>
    
<value>com.mysql.jdbc.Driver</value>
 
</parameter>
 
<parameter>
     
<name>url</name>
    
<value>jdbc:mysql://localhost/tomcatusers?autoReconnect=true</value>
  
</parameter>
</ResourceParams>

注意:Tomcat的JNDI资源必须配置在<GlobalNamingResources>元素下,服务器才能找到,否则会出现NameNotFoundException;低于Tomcat5.0.12的版本,即使正确配置了DataSourceRealm,也会出现找不到JNDI DataSource的异常,这个小猫的一个bug;在web.xml中是不需要配置<resource-ref>元素的,因为Web应用并不会访问这个DataSource。
当然server.xml还需要添加和JDBC域几乎相同的代码:

<Realm className="org.apache.catalina.realm.DataSourceRealm" 
             driverName
="com.mysql.jdbc.Driver" debug="0" 
             connectionURL
="jdbc:mysql://localhost/tomcatusers" connectionName="roor" 
             connectonPassword
="" userTable="users" userNameCol="user_name" 
             userCredCol
="user_pass" userRoleTable="user_roles" roleNameCol="role_name">

Tomcat阀
由org.apache.Catalina.Value接口定义,能够对Catalina容器接收的HTTP Request进行预处理,是小猫特有的功能,可以加入到3种容器中(Engine、Host、Context)。

客户访问日志阀(Access Log Value)- 能够将可以的Request信息写入到日志中。可以记录页面访问的次数、用户Session活动和用户验证信息等。
例如:<Value className="org.apache.catalina.AccessLogValue" directory="logs" prifix="localhost_access_log" suffix=".txt" pattern="%h%l%u%t%s%r%s%b" resolveHost="true">
上面的pattern值可以用common,一个默认的值。
pattern属性规定日志的格式和内容:%a-远程IP地址;%A-本地IP地址;%b-发送的字节数,不包括HTTP Header;%h-远程主机名;%H-客户请求所用的协议;%l-"-";%m-请求的方法;%p-接受请求的本地服务器断开;%q-查询字符串;%r-用户请求的第一行内容;%s-响应HTTP Request的状态码;%S-用户Session ID;%t-时间;%u-验证的用户名;%U-请求URL路径;%v-本地服务器名。

远程地址过滤器(Remote Address Filter)-根据IP地址决定是否接受客户的请求。
例如:<Value className="org.apache.catalina.RemoteAddrValue" allow="127.0.0.1" deny="127.111.*"/>

远程主机过滤器(Remot Host Filter)-根据主机名决定是否接受请求。
<Value className="org.apache.catalina.RemoteHostValue" allow="localhost" deny="monster*"/>

客户请求记录器(Request Dumper)-把客户请求的详细信息记录在日志文件中,这里的日志文件是指<Logger>元素。
假定在server.xml中localhost的<Host>元素下已经配置了<Logger>元素:

<Logger className="org.apache.catalina.logger.FileLogger" directory="logs" prefix="localhos_log." 
              suffix
=".txt" timestamp="true"/>

然后再添加<Value>元素:

<Value className="org.apache.catalina.RequestDumperValue"/>


参考:《Tomcat与JavaWeb开发技术详解》

posted on 2005-02-16 23:29 阿姆斯壮 阅读(1517) 评论(0)  编辑  收藏 所属分类: 基础很重要

只有注册用户登录后才能发表评论。


网站导航: