Base-Jsp-9-安全验证

最新推荐文章于 2025-12-24 09:08:15 发布
原创 最新推荐文章于 2025-12-24 09:08:15 发布 · 1.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#servlet #服务器 #security #浏览器 #authorization #authentication

本文围绕Servlet安全验证展开,介绍了身份验证和访问控制。身份验证包含容器提供的4种机制,如HTTP基本、摘要、HTTPS客户身份验证及表单身份验证;访问控制方面,Servlet规范定义安全机制,通过web应用程序配置描述符指定访问约束,服务器和容器可处理相关验证与控制。

v 安全验证

Ø 身份验证(authentication):建立一种机制,以确定一个用户确实是他所声称的那个人。

Ø 访问控制,或授权(authorization):与身份验证紧密相关的安全机制,保证用户只能。

v 身份验证

Ø 由容器提供的身份验证

       Servlet规范(2.2开始)定义了3种身份验证机制,大部分web客户机和服务器都支持

       3种机制。

i)                 HTTP基本身份验证

当浏览器请求访问受保护的资源时,服务器将发回索要用户身份证明(用户名和密码)的应答。浏览器提示用户输入这些信息,并再次发送相同的请求,并在请求首部加入了用户的身份证明,这样服务器就可以对这个用户进行身份验证了。

这种验证,用户名和密码并没有被加密,而只是用人们熟悉的Base64编码处理。

ii)                HTTP摘要身份验证

它同HTTP基本身份验证的处理方式相同,只是在服务器发送索要验证信息的应答

中还会发送一个称为nonce的字符串(该字符串由服务器唯一生成,包括一个时间

戳、被请求资源的信息和一个服务器标识符),浏览器生成一个包含用户名、密码、

收到的nonce值和被MD5加密的URI的请求,浏览器生成的生成的这个请求信息

被称作“摘要信息”。HTTP摘要身份验证和HTTP基本身份验证相比提高了安全

性,但它还没有得到当前的web客户端和服务器的广泛的支持。

iii)              HTTPS客户身份验证

® HTTPS客户身份验证是当前所能支持的最可靠的身份验证机制,这种机制要求用户持有一个PKC(Public Key Certificate,公共密钥证书),当客户端和服务器之间建立起了连接时,这个证书通过一个非常安全的质询——应答的过程发送给服务器,服务器将使用这个证书来唯一的识别该用户。

ª 以上3种机制都是internet标准定义的。这3种机制通常有web服务器自己来实现的,而不是由servlet容器实现的。Servlet规范只定义了一个应用程序如何访问信息结果的规则,而这些结果是进行了用户身份验证的。

iv)              表单的身份验证和

这种身份验证是servlet规范所独有的,并由servlet容器自己实现的

出于同样的原因,表单的身份验证和HTTP基本身份验证一样都不可靠,用户的身

份信息将以纯文本的形式在网络上传输。所以为了保护敏感的资源,必须用SSLSecureSocketsLayer,安全套结字)这样的加密机制来完成安全管理。

这种机制允许你控制登陆页面的外观。登陆页面是一个带有表单的普通HTML文件,其中包括两个必须的字段,j_usernamej_password,而且action属性被设为字符串j_security_check

              <form method=”POST” action=”j_security_check”>

                     <input type=”text” name=”j_username”>

       <input type=”password” name=”j_password”>

</form>

这种机制和基本身份验证一样,当浏览器请求访问受保护的资源时,将显示出登陆表单,action属性的值j_security_check是一个特殊的URL,容器将识别这个URI

v web资源进行访问控制

       ª 容器控制的身份验证

Servlet规范定义的安全机制阐述了为一个web应用程序指定访问控制约束,但访问权限是赋予角色(role)的,而不是直接赋予某个用户或用户组的。在特定服务器上,真实的用户名和用户组名会映射到应用程序中的角色名上。

web应用程序的资源的访问控制的类型是在web应用程序配置描述符(WEB-INF/web.xml文件)中定义的。配置描述符的格式是由servlet规范定义的的,所以所有兼容servlet的容器都支持这种类型的安区配置。

例:

    <security-constraint>

        <!web-resource-collection定义了要保护的资源-->

        <web-resource-collection>

            <web-resource-name>admin<web-resource-name>

            <web-resource-name>user<web-resource-name>

            <url-pattern>/WEB-INF/pages/*</url-pattern>

        </web-resource-collection>

        <--auth-constraint定义了谁能访问受保护的资源,这这里定义只有admin角色才能

            访问受保护的资源

-->

        <auth-constraint>

            <role-name>admin</role-name>

        </auth-constraint>    

    </security-constraint>

    <--login-config定义了要使用的验证类型-->

    <login-config>

        <--auth-method接受的值包括:BASICDIGESTFORMCLIENTCERT-->

        <auth-method>BASIC</auth-method>

        <--realm-name:领域名,可以为任何文本,该信息作为认证对话框的一部分显示-->

        <realm-name>Security Example</real-name>

    </login-config>

    <--security-role声明在容器的安全域内必须被映射到用户和用户组的所有角色的名称

    -->

    <security-role>

        <role-name>admin</role-name>

</security-role>

<security-role>

        <role-name>user</role-name>

</security-role>

 

如果使用表单的身份验证,那么必须在<login-config>元素中指定你的登陆表单和错误页面的名称。

<login-config>

        <auth-method>FORM</auth-method>

        <form-login-config>

            <form-login-page>/login.jsp</form-login-page>

            <form-error-page>/loginError.jsp</form-error-page>

        </form-login-config>

    </login-config>

通过使用配制描述符中的安全性需求的声明,web服务器和servlet容器就可以帮助你处理所有的身份验证和访问控制了。

dudutu
关注
Hbase总结(五)-hbase常识及habse适合什么场景
Java海洋
10-08 6万+
当我们对于数据结构字段不够确定或杂乱无章很难按一个概念去进行抽取的数据适合用使用什么数据库?答案是什么,如果我们使用的传统数据库,肯定留有多余的字段,10个不行,20个,但是这个严重影响了质量。并且如果面对大数据库,pt级别的数据,这种浪费更是严重的,那么我们该使用是什么数据库?hbase数个不错的选择,那么我们对于hbase还存在下列问题: 1.Column Family代表什么?
springmvc-base-input-02.rar
01-24
总之,"springmvc-base-input-02" 项目涵盖了 Spring MVC 的基本输入处理,包括依赖管理、请求分发、模型绑定、数据验证和异常处理等关键概念。通过深入研究这个项目,开发者可以进一步理解如何构建一个健壮的、处理...
HBase简介,架构,使用场景介绍
helloxiaozhe的博客
05-12 8898
一、Hbase出现的缘由及简介自1970年以来,关系数据库用于数据存储和维护有关问题的解决方案。大数据的出现后,好多公司实现处理大数据并从中受益,并开始选择像 Hadoop 的解决方案。Hadoop使用分布式文件系统,用于存储大数据,并使用MapReduce来处理。Hadoop擅长于存储各种格式的庞大的数据,任意的格式甚至非结构化的处理。Hadoop的限制Hadoop只能执行批量处理,并且只以顺序...
再谈全局网HBase八大应用场景
weixin_33850015的博客
03-21 1203
HBase概述 HBase是一个分布式存储、数据库引擎,可以支持千万的QPS、PB级别的存储,这些都已经在生产环境验证,并且在广大的公司已经验证。特别是阿里、小米、京东、滴滴内部都有数千、上万台的HBase集群。选择一个技术的首要条件是对齐大公司,大公司会投入大量的人力去维护、改进、贡献社区。 关于NewSQL与NoSQL的关系 技术总是不断向前发展的,...
Web安全-一句话木马
热门推荐
道阻且长,行则将至
05-08 39万+
在很多的渗透过程中,渗透人员会上传一句话木马到目标web服务目录继而提权获取系统权限,不论asp、php、jsp、aspx都是如此,那么一句话木马到底是什么呢?
第13章 vue-admin-template
richieandndsc的博客
03-31 6808
这是一套简单的vue基础课程,主要介绍vue,vue-router,axios,vuex,element-ui等等
JSPBase64编码解码与安全实践
weixin_35935514的博客
07-20 1204
Base64编码是一种基于64个可打印字符来表示二进制数据的表示方法。它的设计是将每三个字节的二进制数据转换为四个字符。在这64个字符中,包括26个小写字母,26个大写字母,10个数字,以及两个符号:加号(+)和斜杠(/)。Base64编码之所以能够有效,是因为它只使用ASCII码表中的前64个字符,这使得编码后的数据可以安全地在不支持8位字节值的媒介上进行传输,例如电子邮件。Base64编码过程可以分为以下几个步骤:1. 将原始字节数据分成每3个字节为一组。
JSP简单练习-用户注册表单
倚世独殇
07-12 5641
<% String path = request.getContextPath(); String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/"; %> function on_submit() { // 验证数据的合法性
Java安全-Java Web后门学习 Jsp 一句话分析
Love&Share
05-03 3024
文章目录Java Web后门一句话木马反射调用类加载(冰蝎马实现方式)ELSE参考 Java Web后门 Java 是强类型语言,不能够像 PHP 那样利用字符串组合当作系统函数使用 Java 中常用的命令执行函数 java.lang.Runtime.exec() java.lang.ProcessBuilder.start() 一句话木马 最简单的 jsp 一句话木马 <% Runtime.getRuntime().exec(request.getParameter("i"));%> .
java-sec-code学习
公众号shadow sock7
03-04 4872
配合静态代码审计工具,学习一下。 git clone https://github.com/JoyChou93/java-sec-code cd java-sec-code # 生成jar包 mvn clean package 修改配置文件src/main/resources/application.properties:: 将数据库名,账号密码修改为mysql中有的。 参考:mysql最常用最......
JSP开发中Apache-HTTPClient 用户验证的实例详解
10-19
在实际应用中,应当评估安全需求,并选择更为安全的验证机制。此外,实例代码中的LoggerFactory、Logger、CloseableHttpResponse等都属于日志框架和Apache HTTP Components库中的组件,需要在项目中正确配置相关依赖...
springmvc-base-output-03.rar
01-24
9. **单元测试**:Spring MVC 应用通常会包含针对控制器的单元测试,使用 `MockMvc` API 来模拟 HTTP 请求并验证控制器的响应。 10. **MVC 整合其他 Spring 功能**:Spring MVC 可以与 Spring 的其他功能无缝集成,...
base-framework是对常用的java web开发封装实用功能来提高开发效率.zip
03-23
7. **安全控制**:为了保护应用免受攻击,base-framework可能集成了身份验证和授权机制,如Spring Security,提供用户认证、权限控制等功能。 8. **异常处理**:框架可能会提供统一的异常处理机制,帮助开发者优雅...
base-framework是对常用的java web开发封装实用功能来提高开发效率
01-28
7. **安全控制**:安全性是Web开发中的重要环节,base-framework可能内置了如Spring Security或Apache Shiro等安全框架,提供认证和授权功能。 8. **国际化与本地化**:对于多语言支持,base-framework可能提供了...
Nginx 服务器
Edward2022的博客
12-22 698
Nginx服务器:静态高性能http服务器、反向代理、负载均衡
C# 结合 JavaScript 实现手写板签名并上传到服务器
最新发布
csdn_aspnet的专栏,请点击博客主页右上角三个点中的私信联系
12-24 2998
本文介绍了一个基于C#和JavaScript开发的手写签名测试系统。该系统通过HTML5 Canvas实现手写板功能,支持触屏设备手写和鼠标模拟,提供多种画笔颜色选择、重写和提交功能。签名数据以Base64格式传输到后端,由C#代码转换为PNG和JPEG格式图片存储。系统适用于银行、保险等需要电子签名的业务场景,同时具备笔迹分析功能。文章详细阐述了前端JavaScript实现手写功能、前后端交互过程以及后端图片处理的关键代码。系统运行于Windows Server 2019环境,使用.NET Framewo
nginx在多层服务器代理接口地址的应用
丁丁丁梦涛的博客
12-23 263
本文展示了一个多级反向代理配置方案,通过A服务器和B服务器的Nginx配置实现请求转发。A服务器监听4832端口,将不同路径的请求分别代理到B服务器的不同端口,包括设备文件接口(9500)、冷水机鉴权接口(8001)和数据接口(8001)。B服务器进一步将冷水机相关请求转发到C服务器(192.168.53.171)的8888和90端口。配置中包含了必要的请求头设置和超时控制,确保请求链路的完整性和安全性。该方案体现了复杂网络环境下通过反向代理实现服务调用的灵活架构。
服务器和交换机链路:Amphenol ICC 电缆组件实用解析
Cable_A的博客
12-23 850
随着数据中心和企业级网络的高速发展,对线束与电缆组件的稳定性、信号完整性和可靠性提出了更高的要求。
基于vnstat监控服务器的网卡流量
胡焦24的技术博客
12-23 469
希望整体和 goaccess 类似,但是 goaccess 是监控 web 服务的,这里使用 vnstat 来监控的是整台服务器的流量。脚本,并对脚本添加授权,运行脚本就可以生成网卡的流量图,按需求可以生成小时、天、月的流量图。增加一个 crontab 定时任务,每隔 5 分钟执行一次该脚本。需要监控服务器的网卡流量,但不希望部署一整套很重的监控服务。在 nginx 的 root 目录下,增加一个。页面,显示下面的监控信息,界面略显粗糙。初始运行一次脚本,然后通过浏览器访问。
E-mail和短信集成开发使用JSP技术教程
从给定的文件信息来看,文件标题、描述和标签均相同,均为“E-mail与短信(jsp).rar”,压缩包内包含一个文件,文件名为“14E-mail与短信”。尽管提供的信息十分有限,我们依然可以从中提取出一些关键知识点。 首先...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值