无需修改代码增强JSP和Servlet的安全性

编写JSP和Servlet是容易的，但通常我们会面临很多安全问题。当然，我们会在程序中加入大量的安全代码来解决这个问题，但加入这样的安全硬编码将使程序变得不灵活，而且不易维护。因此，在本文中将给出一种无需修改代码即可达到安全目的方法，并提供了一个实例进行说明。

 

    在本文中的例子将通过一个用户名和密码以及传输层的SSL来保护应用程序的war文件。用户名和密码以明文在网络中传输。这一切并不需要编辑应用程序中的Java代码和JSP页。而为了使Servlet和JSP页变得安全，我们要做的只是配置web.xml文件而已。

 

一、  设置XML文件

 

    配置web.xml文件的第一步是定义一个安全约束，也就是一个<security-constraint>标签。这个标签将保护响应的URL，以使特定的用户才能访问它。注意我们必须要使用<http-method>标签定义一个或多个HTTP方法。如果你想让安全约束应用到所有的HTTP方法，那么只要简单的忽略<http-method>标签即可。

 

    做完上面的设置后，下一步需要设置SSL。我们可以使用<user-data-constraint>标签以及这个标签的一个子标签<transport-guarantee>来设置。却将<transport-guarantee>的值设置成CONFIDENTIAL。

 

    最后一步我们需要设置验证方法。这需要设置<login-config>标签以及子标签<auth-method>。在这里我们将<auth-method>设为BASIC。下面是web.xml文件的部分内容：

   

<!--
Code highlighting produced by Actipro CodeHighlighter (freeware)
http://www.CodeHighlighter.com/
--> <security-constraint>
      < web-resource-collection>
         <web-resource-name>Servlet Application
         </web-resource-name>
         <url-pattern>/*</url-pattern>
      </web-resource-collection>
      <auth-constraint>
         <role-name>ttrole</role-name>
      </auth-constraint>
      <user-data-constraint>
         <transport-guarantee>CONFIDENTIAL
         </transport-guarantee>
      </user-data-constraint>
   </security-constraint>
   <login-config>
      <auth-method>BASIC</auth-method>
      <realm-name>default</realm-name>
   </login-config>

   <security-role>
      <role-name>ttrole</role-name>
   </security-role>

 

    在上述的例子中，只有用户"ttrole"才能访问Servlet和JSP页。

 

    在Java EE环境中将使用这些用户验证，但在许多操作系统环境中，用户和组关联。因此，security-role-mapping在用户头组之间提供了一座桥梁。在Java EE 5应用服务器中，我们可以在sun-application.xml文件中按如下的方式字义security-role-mapping标签：

 

<!--
Code highlighting produced by Actipro CodeHighlighter (freeware)
http://www.CodeHighlighter.com/
--> <sun-application>
     <security-role-mapping>
       <role-name>myrole</role-name>
       <principal-name>myuser</principal-name>
     </security-role-mapping>
     <security-role-mapping>
       <role-name>ttrole</role-name>
       <group-name>ttgroup</group-name>
     </security-role-mapping>
     <security-role-mapping>
       <role-name>arole</role-name>
       <principal-name>ttuser</principal-name>
     </security-role-mapping>
   </sun-application>

 

二、运行实例代码

在这一节我们来讲一下如何运行上面的程序。在这里我们使用的集成开发环境是NetBeans IDE 5.5以及NetBeans企业开发包。在安装完NetBeans后，我们需要进行以下几步来运行这个程序。

 

1. 首先我们需要下载这个程序，下载连接为：例子代码。 然后将其解压。

 

2. 启动NetBeans。

 

3. 打开webann工程（刚才zip文件中的NetBeans工程），如果出现一个" Resolve missing server problem"提示信息，说明应用服务器还没有被加到NetBeans的服务器列表中。我们可以选择Tools > Server Manager，然后将相应的服务器加到列表中。

 

4. 启动Sun内嵌在NetBeans中的Java System Application Server。我们还可以通过在命令中输入如下的命令来启动服务器：

<appserv_install_dir>/bin/asadmin start-domain domain1

上面的<appserv_install_dir>是应用服务器的安装目录。

 

5. 建立一个用户。我们可以通过管理控制台来完成的（默认是http://localhost:4848），可按以下步骤操作：

(1) 从左侧的管理树中选择Configuration > Security > Realms > file。

(2) 单击"Manage Users"，然后单击"New"。

 

(3) 输入以入信息。

 

User Id: ttuser

Group List: ttgroup

New Password: ttpassword

Confirm New Password: ttpassword

 

(4) 单击"OK"，保存设置。

 

在建立第一个用户后，使用同样的方式建立第二个用户ttusers2，输入信息如下：

 

User Id: ttuser2

Group List: ttgroup

New Password: ttpassword

Confirm New Password: ttpassword

 

6. 按着以下步骤编译NetBeans工程：

(1) 右击工程窗口的webann节点。

 

(2) 选择"Clean and Build Project"。

在这个步骤中将建立ear文件，并将它们放到webann/dist目录中。

 

7. 按着以下步骤发布ear文件：

(1) 右击工程中的webann节点。

 

(2) 选择"Deploy Project"。

 

除了上述的发布方法，我们还可以按以下的方式通过管理界面发布：

 

(1) 在左侧的控制树中选择Applications > Enterprise Applications。

 

(2) 单击"Deploy"。

 

(3) 单击"Browser"按钮找到ear文件

 

(4) 单击"OK"。

 

我们还可以通过如下的命令行发布ear文件：

asadmin deploy webann.ear

 

8. 下面我们启动浏览器，在地址栏中输入https://<host>:<port/webann，在这里<host>是主机名，如果是本机，就是"localhost"，<port>是HTTPS的端口，如8181。

 

    可能由于浏览器的不同，所看到的验证信息不同，但一般会出现一个"unknown authority"，这是因为这个例子使用了self-sign验证。然后浏览器将会出现一个选项，提示您是否继续浏览应用程序。

 

    如果我们选择继续浏览应用程序，系统将会提示我们输入用户名和密码。如果我们使用ttuser登录，将会看到类似如下的响应信息：

Hello, ttuser

Ejb Message: Hello, World, Sat Jun 30 12:04:46 PDT 2007

DataSource login timeout: 0

 

    如果我们使用ttuser2登录，将会看到类似如下的响应信息：

 

Hello, ttuser2

DataSource login timeout: 0

 

    之所以它们的响应信息不同是因为它们所角色不同，用户ttuser拥有"ttrole"和"arole"。而ttuser2只有"ttrole"，而没有"arole"。在这个应用程序中，只有拥有角色"arole"的用户可以调用SlessLocal.hello(String message)方法，这个方法返回一个"Hello, World"信息。

 

当我们运行完这个程序后，可以按着如下的步骤卸载ear文件：

1.    通过管理界面面卸载ear文件。

(1) 在左侧的功能树中选择Applications > Enterprise Applications

 

(2) 选择"webann"，然后单击"Undeploy"。

 

2. 通过管理界面面删除用户。

 

(1) 选择Configuration > Security > Realmn > file

 

(2) 单击"Manage Users"。

 

(3) 选择ttuser和ttuser2。

 

(4) 单击"Delete"。

1