TOMCAT的安全域（Realm）

TOMCAT的安全域（Realm） (2008-06-03 16:56:01)
标签：杂谈 

基本验证

如果采用基本验证，当客户访问受保护的资源时，浏览器会先弹出一个对话框，要求用户输入用户名和密码，如果输入正确，Web服务器就允许他访问这些资源；否则，在连接3次尝试失败后，会显示一个错误信息页面。这个方法的缺点是把用户名和密码从客户端传送到Web服务器时，在网络上传送的数据采用 Base64编码（全是可读文本），因此这种验证方法不是非常安全。可以采用一些安全措施来克服这个弱点。例如在传输层上应用SSL（安全套接层（Secure Sockets Layer）为验证过程提供了数据加密，服务器端认证，信息真实性等方面的安全保证。在此验证方式中，客户端必须提供一个公钥证书，你可以把这个公钥证书看作是你的数字护照。公钥证书也称数字证书，它是被称作证书授权机构（CA）——一个被信任的组织颁发的。这个数字证书必须符合X509公钥体系结构（PKI）的标准。如果你指定了这种验证方式，Web服务器将使用客户端提供的数字证书来验证用户的身份。）或者在网络层上使用IPSEC或VPN技术。

摘要验证
摘要验证与基本验证的不同在于：摘要验证不会在网络中直接传输用户密码，而是首先采用MD5（Message Digest Algorithm）对用户密码进行加密，然后传输加密后的数据，所有这种方法显得更为安全。


基于表单的验证
基于表单的验证使系统开发者可以自定义用户的登陆页面和报错页面。用户在表单中填写用户名和密码，而后密码以明文形式在网路中传递，如果在网路的某一节点将此验证请求截获，在经过反编码很容易就可以获取用户的密码。因此在使用基本HTTP的验证方式和基于表单的验证方法时，一定确定这两种方式的弱点对你的应用是可接受的。但有个规定：用户名对应的文本框必须命名为：j_username，密码对应的文本框必须命名为：j_password，并且表单的 aciton的值必须为：j_security_check。