Web安全

Servlet安全的4大要素

Servlet安全可以划分为4大概念：认证、授权、机密性、数据完整性。

认证

容器端认证过程

没有口令时：

1.接到请求，容器在安全表里面查找URL。

2.找到URL后，容器会确认所请求的资源是否受限。

有口令时：

1.接到请求，容器在安全表里面查找URL。

2.找到URL后，容器会确认所请求的资源是否受限，如果受限会检查用户名和口令。

3.如果用户名和口令确实匹配，容器会查看为这个用户指派的角色是否允许访问这个资源，如果可以，则把资源返回给客户

注意：对于大多数Web应用，安全约束应该以声明方式处理，即在部署文件中指定。这样有利于应用的可扩展性和维护性，也体现了基于组件开发的思想。

授权

第一步：定义角色

开发商特定：

在Tomcat的conf目录下建立一个文件叫tomcat-users.xml。

	<tomcat-users>
		<role rolename="jim">
		<role rolename="Green">
		....
		<user username="Bald" password="admin" roles="Jim">
		....
	</tomcat-users>

SERVLET规范：

在web.xml中增加元素

	<security-role><role-name>Admin</role-name></security-role>
	....
	<!--下面这部分必不可少-->
	<login-config>
		<auth-method>BASIC</auth-method>
	</login-config>

第二步：定义资源

	<security-constraint>
		<web-resource-collection>
			<web-resource-name>UpdateRecipes</web-resource-name> <!--中间的那个名字是必须的-->
	
			
			<url-pattern>xxxx</url-pattern><!--定义受限资源-->
			<http-method>GET</http-method><!--定义请求方法-->

		</web-resource-collection>
		<auth-constraint>
			<role-name>xxxx</role-name> <!--定义授权角色-->
		</auth-constraint>
	</security-constraint>

关于这块，还有很多细枝末节的地方需要注意，这里只了解各大概，之后会继续完善。