web應(yīng)用開發(fā)認(rèn)證中的數(shù)據(jù)保護(hù)機(jī)制

現(xiàn)Web應(yīng)用程序的安全機(jī)制是Web應(yīng)用程序的設(shè)計(jì)人員和編程人員必須面對(duì)的任務(wù)。在J2EE中，Web容器支持應(yīng)用程序內(nèi)置的安全機(jī)制。

認(rèn)證和授權(quán)

Web應(yīng)用程序的安全機(jī)制有二種組件：認(rèn)證和授權(quán)。

基于J2EE的Web容器提供三種類型的認(rèn)證機(jī)制：基本認(rèn)證、基于表單的認(rèn)證、相互認(rèn)證。由于能夠?qū)φJ(rèn)證用戶界面進(jìn)行定制，大多數(shù)的Web應(yīng)用程序都使用基于表單的認(rèn)證。Web容器使用在Web應(yīng)用程序的部署描述符中定義的安全角色對(duì)應(yīng)用程序的Web資源的訪問進(jìn)行授權(quán)。

在使用基于表單的認(rèn)證機(jī)制中，應(yīng)用程序的設(shè)計(jì)人員和開發(fā)人員會(huì)遇到3類問題：

1、基于表單的認(rèn)證如何與數(shù)據(jù)庫(kù)和LDAP等其他領(lǐng)域的安全機(jī)制協(xié)同工作。（這是非常必要的，因?yàn)樵S多組織已經(jīng)在數(shù)據(jù)庫(kù)和LDAP表單中實(shí)現(xiàn)了認(rèn)證機(jī)制。）

2、如何在Web應(yīng)用程序的部署描述符（web.xml）中增加或刪除軍政府的授權(quán)角色。

3、Web容器在Web資源層次上進(jìn)行授權(quán)；應(yīng)用程序則需要在單一的Web資源中執(zhí)行功能層次上的授權(quán)。盡管有許多與基于表單的認(rèn)證有關(guān)的文檔和例子，但都沒有能夠闡明這一問題。因此，大多數(shù)的應(yīng)用程序都以自己的方式表達(dá)安全機(jī)制。

基于表單的認(rèn)證

基于表單的認(rèn)證能夠使開發(fā)人員定制認(rèn)證的用戶界面。web.xml的login-config小節(jié)定義了認(rèn)證機(jī)制的類型、登錄的URI和錯(cuò)誤頁(yè)面。

為了實(shí)現(xiàn)Web應(yīng)用程序的安全，Web容器執(zhí)行下面的步驟：

1、在受保護(hù)的Web資源被訪問時(shí)，判斷用戶是否被認(rèn)證。

2、如果用戶沒有得到認(rèn)證，則通過(guò)重定向到部署描述符中定義的注冊(cè)頁(yè)面，要求用戶提供安全信任狀。

3、根據(jù)為該容器配置的安全領(lǐng)域，確認(rèn)用戶的信任狀有效。

4、判斷得到認(rèn)證的用戶是否被授權(quán)訪問部署描述符（web.xml）中定義的Web資源。

就如基本的安全認(rèn)證機(jī)制那樣，在Web應(yīng)用程序的部署描述符中，基于表單的認(rèn)證不指定安全區(qū)域。也就是說(shuō)，它不明確地定義用來(lái)認(rèn)證用戶的安全區(qū)域類型，這就會(huì)在它使用什么樣的安全區(qū)域認(rèn)證用戶方面引起混淆。

要對(duì)用戶進(jìn)行驗(yàn)證，Web窗口需要完成下面的步驟：

1、判斷該容器配置的安全區(qū)域。

2、使用該安全區(qū)域進(jìn)行認(rèn)證。

由于數(shù)據(jù)庫(kù)和LDAP在維護(hù)信息方面提供了更大的靈活性，因此大多數(shù)組織都會(huì)希望繼續(xù)使用它們維護(hù)安全認(rèn)證和授權(quán)信息。

許多Web窗口都支持不同類型的安全區(qū)域：數(shù)據(jù)庫(kù)、LDAP和定制區(qū)域。例如，在Tomcat Web容器中，server.xml將數(shù)據(jù)庫(kù)配置為其安全區(qū)域。

web前端 數(shù)據(jù)庫(kù)安全服務(wù) DBSS

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。