Java EE 6：应用程序安全增强

JEE6在web容器的安全以及Java应用程序开发中的认证和授权方面引入了一些新的安全特性。这些特性在Web层引入了编程式和声明式的安全增强。

基于Servlet 3.0规范（JSR 315），Java EE 6 Web应用程序可以利用新的编程式和声明式的安全特性，以及此前在EJB 3.x就已引入的安全注解。Web应用程序还可以使用基于JSR 196的插件式的认证/授权模块，这些模块可以作为Servlet容器的一部分。

Web模块安全

Web模块安全的实现包括编程式（使用Http Servlet Request中新加入的安全方法）和声明式（使用新的安全注解）。

编程式安全

可以使用HTTP Servlet Request中新加入的方法以编程的方式访问容器上下文。Servlet 3.0规范在HttpServletRequest接口中定义了如下方法，这些方法可以在Web应用中认证用户的身份。

• authenticate：这个方法使用ServletContext上配置的容器登录机制认证用户请求。此方法可以修改并提交HttpServletResponse。如果应用配置了基本类型的身份认证就会弹出一个登录对话框，收集用户名和密码并进行认证。
• login：login方法在Web容器所使用的安全域（realm）中验证用户名和密码。应用程序可以使用该方法获取用户名和密码信息，这样除了在应用程序的部署描述符中指定基于表单的认证方式外，还可以编程的方式进行控制。
• logout：Web应用程序可以使用该方法重置请求者的身份信息，如果在同一个请求中调用了getUserPrincipal、getRemoteUser和getAuthType等方法，那么它会将这些方法的返回值设为null。

HttpServletRequest接口的如下方法也可以访问组件调用者的安全信息：

• getRemoteUser：此方法可以获取客户端通过认证的用户名。此方法返回远程用户（已经由容器将其与请求关联在一起）的名字。如果没有用户通过身份认证，则返回null。
• isUserInRole：此方法判定远程用户是否具有特定的安全角色。如果没有用户通过身份认证，则返回false。此方法接受一个用户角色名的字符串参数。应该在部署描述符中声明security-role-ref元素，其子元素role-name包含了传递给方法的角色名。
• getUserPrincipal：getUserPrinicipal方法用来判断当前用户的principal名，并返回一个java.security.Principal对象。如果没有用户通过身份认证，则返回null。调用getUserPrincipal返回的Principal对象的getName方法会返回远程用户名。

声明式安全

新的注解也可以用来增强Web模块的安全性。我们可以通过Java EE 6提供的注解和部署描述符进行认证、授权及传输层加密。Java EE 6的新注解列举如下：

• @ServletSecurity：@ServletSecurity可用于Servlet的实现类，指定Servlet容器对HTTP协议报文进行验证的安全约束。Servlet容器会对匹配的Servlet所对应的url-patterns施加这些约束。
• @HttpMethodConstraint：@HttpMethodConstraint用在@ServletSecurity注解的内部，表述了加于特定HTTP协议报文之上的安全约束。这是一个数组，指定了HTTP方法的具体约束。
• @HttpConstraint：该注解用在@ServletSecurity注解的内部，表述了针对所有HTTP方法（除了在ServletSecurity注解的内部已经指定了对应的HttpMethodConstraint元素）进行防护的安全约束。
• @DeclareRoles：@DeclareRoles是一个类级别的注解，这是Common Annotations 1.0（JSR 250）规范的一部分，它与定义应用程序所使用角色的security-role元素的效果相仿。它应该先于其他引用具体角色的地方进行定义。
• @RunAs：@RunAs注解也是Commons Annotations 1.0的一部分，用来规定特殊组件的run-as角色。你可以规定是应该使用调用者的安全标识，还是应该使用一个特定的run-as标识来执行企业bean的特定方法。这个注解也是类级别的注解。

如果Web应用程序由Servlet组成，在@ServletSecurity注解的内部使用@HttpConstraint注解和@HttpMethodConstraint注解（在某些情况下）来规定应用程序的安全约束即可。对于其他的Web应用程序，请在部署描述符里面使用security-constraint元素来规定应用程序的安全约束。

声明安全角色

安全角色（security role）的名称可以使用部署描述符的security-role元素来声明。安全角色引用（security role reference）定义了Web组件在调用isUserInRole（String role）方法时需要使用的角色名称与针对应用程序定义的安全角色名称之间的映射。例如，要把安全角色引用“cut”与角色名称为“bankCustomer”的安全角色映射起来，语法如下：

<servlet>
...
    <security-role-ref>
        <role-name>cust</role-name>
        <role-link>bankCustomer</role-link>
    </security-role-ref>

...
</servlet>

如果属于“bankCustomer”安全角色的用户调用了该servlet，方法isUserInRole("cust")将返回true。security-role-ref元素中的role-link元素必须与在处于同一份web.xml部署描述符中的security-role元素所定义的role-name一致。

<security-role>
    <role-name>bankCustomer</role-name>

</security-role>

强制传输安全

传输安全确保了没有人可以篡改服务端发到客户端或者从客户端接收的数据。Java EE规范让开发人员能够通过web.xml文件中的“用户数据约束（user data constraint）”和“传输保证（transport guarantee）”元素，或者@HttpConstraint注解的“transportGuarantee”属性，来强制传输的安全性。用户数据约束（user data constraint）满足了受限的请求应该经由受防护的传输层链接进行传输的需求。必需的防护力度是由传输保证（transport guarantee）元素的值来定义。以下是在内部类TransportGuarantee中定义的值：

• CONFIDENTIAL：这个传输保证用于满足内容私密性的要求。它确保了数据是加密的，这样数据就无法被第三方破译。
• NONE：这一级别的传输保证不使用SSL，允许数据照常传输。它表示容器在接收到任意的连接（包含未防护的连接）时，必须接受被约束的请求。

我们可以通过使用“user-data-constraint"元素（这个元素应该放在包含了需要传输层保护的资源的security-constraint标签的内部），在web.xml中加上传输层的安全性。例如，我们可以在security-constraint的内部加上如下代码片段，这样当用户访问受管资源时，将会被强制使用SSL。

<user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>

欲了解更多关于Java EE 6的安全特性，不妨去看看Servlet 3.0规范文档中的“安全”章节（第13章）和Java EE 6教程（ 第24章 ）。 DZone最近也在Java EE增强的安全特性方面发表了一篇参考文档（reference card）（提示：用户需要先注册，才能从他们的网站下载文件）。

查看英文原文：Java EE 6: Application Security Enhancements<