【JBoss】5. 保护Web应用程序

配置Web安全

web.xml

如下例，注意注释部分：

  <!-- A security constraint that restricts access to the -->
  <!-- 	Archive Web Administration pages to users with the role WebAdmin. -->
   <security-constraint>
    <!--需要保护的资源-->
    <web-resource-collection>
       <web-resource-name>dispatcher</web-resource-name>
       <description>Only allows users with the role WebAdmin
                  to access the Archive Web Administration pages
       </description>
       <!--1、要保护哪些URL-->
       <url-pattern>*.jsp</url-pattern>
       <url-pattern>*.js</url-pattern>
       <url-pattern>*.m</url-pattern>
       <url-pattern>*.xsl</url-pattern>
       <url-pattern>*/?*/*</url-pattern>
       <!--2、要保护的URL的HTTP方法-->
       <http-method>GET</http-method>
       <http-method>POST</http-method>
     </web-resource-collection>

     <!--3、哪些角色被授权访问这些URL-->
     <auth-constraint>
       <role-name>WebAdmin</role-name>
     </auth-constraint>
     
     <!--4、指定进入应用程序的请求是否被加密（与server.xml中指定的连接器redirectPort配置使用，一般转发给https连接器）-->
     <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
     </user-data-constraint>
   </security-constraint>

   <!--5、指定身份验证策略：本例基于表单的身份验证-->
   <login-config>
      <auth-method>FORM</auth-method>
      <realm-name>Archive Web Admin</realm-name>
      <form-login-config>
	      <form-login-page>login.jsp</form-login-page>
	      <form-error-page>error.jsp</form-error-page>
	  </form-login-config>
   </login-config>

   <!--可选角色的定义-->
   <security-role>
      <role-name>WebUser</role-name>
   </security-role>
   <security-role>
      <role-name>WebAdmin</role-name>
   </security-role>
</web-app>

jboss-web.xml

将一个应用程序映射到安全域中；安全域在login-config.xml中定义。

jboss-web.xml

<jboss-web>
   <!-- Uncomment the security-domain to enable security. You will
      need to edit the htmladaptor login configuration to setup the
      login modules used to authentication users.
   -->
      <security-domain>java:/jaas/ddd</security-domain>
</jboss-web>

login-config.xml

<application-policy name="ddd">
  <authentication>
    <login-module code="com.alpha.security.authentication.TokenLoginModule" flag="required">
      <module-option name="roles">JBossAdmin,WebAdmin,WebUser</module-option>
    </login-module>
    <login-module code="com.alpha.audit.AuditLoginModule" flag="optional"/>
  </authentication>
</application-policy>

server.xml

配置Connector、Realm

参考http://blog.csdn.net/vking_wang/article/details/8895067

验证用户

验证用户的流程如下图所示：

可以用多种方式在应用程序中对用户进行身份验证，JBoss可在web.xml中定义<login-config><auth-method>，采用如下几种身份验证策略

基本身份验证

是HTTP规范一部分的一个挑战-响应协议。

当用户请求一个安全URL时，容器会确定用户是否登录，如果没有登录，则将一个HTTP 401消息发回浏览器来要求用户提供证书；

这个消息导致浏览器显示一个对话框提示用户输入密码；

浏览器再将密码发送回容器，以便安全框架进行身份验证。

注意，浏览器发送的密码并未进行加密。故这种验证策略一般和HTTPS一起使用。

基于表单的身份验证

最常用的验证策略，见本文最上方的web.xml。

   <!--5、指定身份验证策略：本例基于表单的身份验证-->  
   <login-config>  
      <auth-method>FORM</auth-method>  
      <realm-name>Archive Web Admin</realm-name>  
      <form-login-config>  
          <form-login-page>login.jsp</form-login-page>  
          <form-error-page>error.jsp</form-error-page>  
      </form-login-config>  
   </login-config>  

在login.jsp中的表单如下：

<form name="login" method="POST" action="j_security_check">
<table>
	<tr valign="middle">
	  <td><div class="text">Name:</div></td>
	  <td><input class="textfield" type="text" name="j_username" value=""/></td>
	</tr>
	<tr valign="middle">
	  <td><div class="text">Password:</div></td>
	  <td><input class="textfield" type="password" name="j_password" value=""/></td>
	</tr>
	<tr><td> </td></tr>
	<tr valign="middle">
	  <td> </td>
	  <td align="center"><input class="button" type="submit" value="Log in"></td>
	</tr>
</table>
</center>
</form>

注意action = j_security_check

       name=j_username

       name=j_password

摘要式身份验证

与基本身份验证一样，也是一个挑战-响应身份验证方案，不过密码不会明文发送，采用MD5加密。

那究竟什么是摘要式身份验证呢？——还没搞太清楚。。。