web应用开发认证中的数据保护机制

网友投稿 587 2022-05-30

Web应用程序的安全机制是Web应用程序的设计人员和编程人员必须面对的任务。在J2EE中,Web容器支持应用程序内置的安全机制。

认证和授权

Web应用程序的安全机制有二种组件:认证和授权。

基于J2EE的Web容器提供三种类型的认证机制:基本认证、基于表单的认证、相互认证。由于能够对认证用户界面进行定制,大多数的Web应用程序都使用基于表单的认证。Web容器使用在Web应用程序的部署描述符中定义的安全角色对应用程序的Web资源的访问进行授权。

在使用基于表单的认证机制中,应用程序的设计人员和开发人员会遇到3类问题:

1、基于表单的认证如何与数据库和LDAP等其他领域的安全机制协同工作。(这是非常必要的,因为许多组织已经在数据库和LDAP表单中实现了认证机制。)

web应用开发认证中的数据保护机制

2、如何在Web应用程序的部署描述符(web.xml)中增加或删除军政府的授权角色。

3、Web容器在Web资源层次上进行授权;应用程序则需要在单一的Web资源中执行功能层次上的授权。尽管有许多与基于表单的认证有关的文档和例子,但都没有能够阐明这一问题。因此,大多数的应用程序都以自己的方式表达安全机制。

基于表单的认证

基于表单的认证能够使开发人员定制认证的用户界面。web.xml的login-config小节定义了认证机制的类型、登录的URI和错误页面。

为了实现Web应用程序的安全,Web容器执行下面的步骤:

1、在受保护的Web资源被访问时,判断用户是否被认证。

2、如果用户没有得到认证,则通过重定向到部署描述符中定义的注册页面,要求用户提供安全信任状。

3、根据为该容器配置的安全领域,确认用户的信任状有效。

4、判断得到认证的用户是否被授权访问部署描述符(web.xml)中定义的Web资源。

就如基本的安全认证机制那样,在Web应用程序的部署描述符中,基于表单的认证不指定安全区域。也就是说,它不明确地定义用来认证用户的安全区域类型,这就会在它使用什么样的安全区域认证用户方面引起混淆。

要对用户进行验证,Web窗口需要完成下面的步骤:

1、判断该容器配置的安全区域。

2、使用该安全区域进行认证。

由于数据库和LDAP在维护信息方面提供了更大的灵活性,因此大多数组织都会希望继续使用它们维护安全认证和授权信息。

许多Web窗口都支持不同类型的安全区域:数据库、LDAP和定制区域。例如,在Tomcat Web容器中,server.xml将数据库配置为其安全区域。

web前端 数据库安全服务 DBSS

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:Android Studio快捷键指南(本文持续更新)
下一篇:Redux框架之combineReducers() 用法讲解
相关文章