Web容器安全管理（下）——容器基本身份验证

港控/mmm° 2022-06-14 06:06 205阅读 0赞

为了更好地了解并实现Web容器的安全管理，笔者以两篇博客的篇幅来介绍，即：[《Web容器安全管理（上）——Java EE的安全概念》][Web_Java EE] 和 [《Web容器安全管理（下）——容器基本身份验证》][Web]。上篇博客已经介绍了Java EE安全的基本概念，打下了基础。在本文，我们详述Web容器提供的基本身份验证方式。

## **1、容器声明式基本身份验证** ##

假设你已经开发好了应用程序，现在想针对几个页面进行保护，只有通过身份验证且具备足够权限的用户，才可以浏览这些页面。这个需求有几个部分必须实现：  
　　(1)身份验证的方式  
　　(2)授予访问页面的权限  
　　(3)定义用户

这里采用Web容器提供的最简单的基本(Basic)验证，在访问藉此受保护的资源时，浏览器会弹出对话框要求输入用户名和密码。如下图所示，是chrome弹出的身份验证对话框。

![SouthEast][]

使用Web容器提供的基本身份验证功能，需要在应用程序的web.xml中定义：

<login-config>
        <auth-method>BASIC</auth-method> </login-config>

接着要授予指定角色访问页面的权限，所以要先定义角色，在授权之前，必须在应用程序中，定义角色名称。可以在web.xml中如下定义：

<security-role>
        <role-name>admin</role-name>
    </security-role>
    
    <security-role>
        <role-name>manager</role-name>
    </security-role>

在这里定义了admin与manager两个角色名称。接着定义哪些URL可以被哪些角色以哪种HTTP方法访问。例如设置/admin下所有页面，无论使用哪个HTTP方法，都只能被admin角色访问：

<security-constraint>
        <web-resource-collection>
            <web-resource-name>Admin</web-resource-name>
            <url-pattern>/admin/*</url-pattern>
        </web-resource-collection>
        <auth-constraint>
            <role-name>admin</role-name>
        </auth-constraint>
    </security-constraint>

如果有多个角色可以访问某些页面，则<auth-constraint>标签可以设置多个<role-name>标签。在这里看不到任何HTTP方法规范的定义，默认就是所有HTTP方法都受到限制。再来看另一个例子：

<security-constraint>
        <web-resource-collection>
            <web-resource-name>Manager</web-resource-name>
            <url-pattern>/manager/*</url-pattern>
            <http-method>GET</http-method>
            <http-method>POST</http-method>
        </web-resource-collection>
        <auth-constraint>
            <role-name>admin</role-name>
            <role-name>manager</role-name>
        </auth-constraint>
    </security-constraint>

在这个设置中，对于/manager下的所有页面，根据&http-method>的设置，只有admin或manager才可以使用GET与POST方法进行访问。请留意这个语义“只有admin或manager才可以使用GET与POST方法进行访问”，这表示，其他HTTP方法，如PUT、TRACE、DELETE、HEAD和OPTIONS等，无论是否具备admin或manager角色，都可以访问！

若没有设置<http-method>，则所有HTTP方法都受到限制。设置了<http-method>，则只有被设置HTTP受到限制，其他方法不受限制。如果没有设置<auth-constraint>标签，或<auth-constraint>标签中设置了<role-name>\*</role-name>，表示任何角色都可以访问。如果直接编写了<auth-constraint/>，那就没有任何角色可以访问了。

下面是一个完整的设置范例：

<?xml version="1.0" encoding="UTF-8"?>
    <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://xmlns.jcp.org/xml/ns/javaee" xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd" id="WebApp_ID" version="3.1">
      <display-name>SecurityBasicDemo</display-name>
    
      <welcome-file-list>
        <welcome-file>index.jsp</welcome-file>
      </welcome-file-list>
    
      <session-config>
      
      
        <session-timeout>30</session-timeout>
        
      </session-config>
    
      <security-constraint>
        <web-resource-collection>
            <web-resource-name>Admin</web-resource-name>
            <url-pattern>/admin/*</url-pattern>
        </web-resource-collection>
        <auth-constraint>
            <role-name>admin</role-name>
        </auth-constraint>
      </security-constraint>
    
      <security-constraint>
        <web-resource-collection>
            <web-resource-name>Manager</web-resource-name>
            <url-pattern>/manager/*</url-pattern>
            <http-method>GET</http-method>
            <http-method>POST</http-method>
        </web-resource-collection>
        <auth-constraint>
            <role-name>admin</role-name>
            <role-name>manager</role-name>
        </auth-constraint>
      </security-constraint>
    
      <login-config>
        <auth-method>BASIC</auth-method>
      </login-config>
    
      <security-role>
        <role-name>admin</role-name>
      </security-role>
    
      <security-role>
        <role-name>manager</role-name>
      </security-role>
    
    </web-app>

就Web应用程序的设置部分，工作已经结束！但在将应用程序部署至服务器时，在服务器上设置角色与用户或组的对应，设置的方式并非Java EE的标准，而是各服务器都有所不同。例如在Tomcat中，可以在/conf/tomcat-users.xml中定义：

<tomcat-users version="1.0" xmlns="http://tomcat.apache.org/xml" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://tomcat.apache.org/xml tomcat-users.xsd">
      <role rolename="manager"/>
      <role rolename="admin"/>
      <user username="caterpillar" password="123456" roles="admin,manger"/>
      <user username="momor" password="654321" roles="manager"/>
    </tomcat-users>

要启用Tomcat的安全管理功能，还必须在Server Options中选取Enable security，才会读取tomcat-users.xml中的设置信息。

![SouthEast 1][]

在这个设置中caterpillar同时具备admin与manager角色，而momor则具备manager角色。在启动应用程序之后，如果访问/admin或/manager，就会出现对话框要求输入名称、密码。如果输入错误，就会被一起要求输入直到正确为止。

![SouthEast 2][]

如果访问/admin下的页面，只有输入了caterpillar名称及正确的密码，才可以正确浏览到页面。如果输入了momor名称及正确的密码，会提示权限不足，拒绝访问。

![SouthEast 3][]

上面虽然输入了momor名称及正确的密码，通过了浏览器的身份验证，但授权失败，弹出403画面。

![SouthEast 4][]

tomcat-user.xml是Tomcat预设的Realm（不知道什么是Realm，请参看[上一篇博文][Web_Java EE]），角色、用户名称、密码都存储在这个xml文件中。你也可以改用数据库表格，这需要额外配置。

## **2、容器声明式基本身份验证的原理** ##

在初次请求某个受保护的URL时，容器会检查请求中是否包括Authorization标头，如果没有的话，则容器会响应401 Unauthorized的状态码与信息，以及WWW-Authenticate标头给浏览器，浏览器收到WWW-Authenticate标头之后，就会出现对话框要求用户输入名称及密码，原理如下图所示：

![SouthEast 5][]

如果用户在对话框中输入名称、密码后按下确定键，则浏览器会将名称密码以BASE64方式编码，然后放在Authorization标头中送出。容器会检查请求中是否包括Authorization标头，并验证名称、密码是否正确，如果正确，就将资源传送给浏览器。如下图所示：

![SouthEast 6][]

BASE64是将二进制的字节编码为ASCII序列的编码方式，在HTTP中可用来传送内容较长的数据。编码并非加密，只要译码方式正确，就可以取得原本的信息。

接下来在关闭浏览器之前，只要是对服务器资源的请求，每次都包括Authorization标头，而服务器每次也都会检查是否有Authorization标头，所以登录期间会一起持续到关闭浏览器为止。如下图所示，为基本身份验证的流程图。

![SouthEast 7][]

由于使用的是浏览器提供的对话框输入名称、密码，所以基本身份验证时无法自定义登录画面。由于传送名称、密码时使用的是Authenticate标头，无法设计注销机制，关闭浏览器是结束会话的唯一方式。

## **3、容器声明式窗体身份验证** ##

如果需要自定义登录页面，以及登录错误的页面，则可以改用容器所提供的窗体(Form)验证。要将之前的基本身份验证改为窗体验证的话，可以在web.xml中修改<login-config>的设置：

//略...
    <login-config>
        <auth-method>FORM</auth-method>
        <form-login-config>
            <form-login-page>/login.html</form-login-page>
            <form-error-page>/error.html</form-error-page>
        </form-login-config>
    </login-config>
    //略...

在<auth-method>的设置从BASIC改为FORM。由于使用了窗体网页进行登录，所以必须告诉容器，登录页面是哪个，登录失败页面是哪个。这是由<form-login-config>标签对来设置，设置时必须以斜杠开始，也就是从应用程序根目录开始的URL路径。

接下来就可设置自己的窗体登录页面，但必须注意！窗体发送的URL必须是**j\_security\_check**，发送名称的请求参数必须是**j\_username**，发送密码的请求参数必须是**j\_password**。以下是login.html的简单示例：

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
    <html>
    <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    <title>登录页面</title>
    </head>
    <body>
        <form action="j_security_check" method="post">
            名称：<input type="text" name="j_username"><br>
            密码：<input type="password" name="j_password"><br>
            <input type="submit" value="送出"/>
        </form>
    </body>
    </html>

error.html的简单示例：

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
    <html>
    <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    <title>登录失败网页</title>
    </head>
    <body>
        <h1>用户名或者密码错误，登录失败</h1>
        <a href='login.html'>返回登录页面</a>
    </body>
    </html>

登录时的页面如图所示：

![SouthEast 8][]

登录失败时的页面如图所示：

![SouthEast 9][]

## **4、容器窗体身份验证的原理** ##

来了解一下容器利用窗体进行验证的原理。当使用窗体身份验证时，如果要访问受保护的资源，容器会检查用户有无登录，方式是查看HttpSession中有无”javax.security.auth.subject“属性，若没有这个属性，则表示没有经过容器的验证流程，则转发至登录页面，用户输入名称、密码并发送后，若验证成功，则容器会在HttpSession中设置属性名称”javax.security.auth.subject“的对应值javax.security.auth.subject实例。具体的流程如下图所示：

![SouthEast 10][]

用户是否登录是通过HttpSession的”javax.security.auth.subject“属性来判断，所以要让此次登录失败，可以调用HttpSession的invalidate()方法，因此窗体验证时可以设计注销机制。

除了基本身份验证与窗体验证之外，在<auth-method>中还可以设置DIGEST或CLIENT-CERT。

DIGEST即所谓”摘要验证“，浏览器也会出现对话框输入名称、密码，而后通过Authorization标头传送，只不过并非使用BASE64来编码名称、密码。浏览器会直接传送名称，但对密码则先进行（MD5）摘要演算（非加密），得到理论上唯一且不可逆的字符串再传送，服务器根据名称从后端取得密码，以同样的方式作摘要演算，再比对浏览器送来的摘要字符串是否符合，如果符合就验证成功。由于网络上传送的并不是真正的密码，而不是不可逆的摘要，密码不会被得知，理论上比较安全。不过Java EE规范中并无要求一定得支持DIGEST的验证方式（看厂商的需要，Tomcat是支持的）。

CLIENT-CERT也是用对话框的方式来输入名称与密码，因为使用PKC（Public Key Certificate）作加密，可保证数据传送时的机密性及完整性，但客户端需要安装证书（Certificate），在一般用户及应用程序之间并不常采用。

## **5、编程式安全管理** ##

Web容器的声明式安全管理，仅能针对URL来设置哪些资源必须受到保护，如果打算依据不同的角色在同一个页面中设置可访问的资源，例如只有站长或版面管理员可以看到删除整个讨论组的功能，普通用户不行，那么显然无法单纯使用声明式安全管理来实现。

在Servlet3.0中，HttpServletRequest新增了三个与安全有关的方法：authenticate()、login()、logout()。

首先来看authenticate()方法，搭配先前的声明式身份验证的web.xml的设置，你可以决定程序中哪一段逻辑，只有通过了容器身份验证的用户才可以看到。

package cc.openhome;
    
    import java.io.IOException;
    import java.io.PrintWriter;
    import java.security.AccessControlException;
    import javax.servlet.ServletException;
    import javax.servlet.annotation.WebServlet;
    import javax.servlet.http.HttpServlet;
    import javax.servlet.http.HttpServletRequest;
    import javax.servlet.http.HttpServletResponse;
    
    @WebServlet(
            name="SecurityServlet",
            urlPatterns = { "/security" }
            )
    public class SecurityServlet extends HttpServlet { 
        private static final long serialVersionUID = 1L;
    
        public SecurityServlet() {
            super();
            // TODO Auto-generated constructor stub
        }
    
        protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
            // TODO Auto-generated method stub
            response.setContentType("text/html;charset=UTF-8");
            PrintWriter out = response.getWriter();
            out.println("任意其他用户就可以看到的数据一<br>");
            try {
                request.authenticate(response);
                out.println("<h1>必须由容器验证通过的用户才可以看到的数据</h1><br>");
            } catch (AccessControlException  e) {
                e.printStackTrace();
            }
            out.println("任意其他用户就可以看到的数据二<br>");
        }
    
        protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
            // TODO Auto-generated method stub
            doGet(request, response);
        }
    
    }

authenticate()方法会检查用户是否已经通过了容器验证，否则根据web.xml中的设置，要求进行身份验证，若通过验证，则可显示接下来的内容。

![SouthEast 11][]

package cc.openhome;
    import java.io.IOException;
    import java.io.PrintWriter;
    import java.security.AccessControlException;
    import javax.servlet.ServletException;
    import javax.servlet.annotation.WebServlet;
    import javax.servlet.http.HttpServlet;
    import javax.servlet.http.HttpServletRequest;
    import javax.servlet.http.HttpServletResponse;
    
    @WebServlet(name = "SecuityLoginServlet", urlPatterns = { "/securityLogin" })
    public class SecuityLoginServlet extends HttpServlet { 
        private static final long serialVersionUID = 1L;
    
        public SecuityLoginServlet() {
            super();
            // TODO Auto-generated constructor stub
        }
    
        protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
            // TODO Auto-generated method stub
            response.setContentType("text/html;charset=UTF-8");
            PrintWriter out = response.getWriter();
            out.println("任意其他用户就可以看到的数据一<br>");
            try {
                String user = request.getParameter("user");
                String passwd = request.getParameter("passwd");
                request.login(user, passwd);
                out.println("<h1>必须由容器验证通过的用户才可以看到的数据</h1><br>");
            } catch (AccessControlException  e) {
                e.printStackTrace();
            } finally {
                request.logout();
            }
            out.println("任意其他用户就可以看到的数据二<br>");
        }
    
        protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
            // TODO Auto-generated method stub
            doGet(request, response);
        }
    }

在浏览器的URL地址栏需要输入user与passwd参数，若参数通过验证，则可显示接下来的内容。

![SouthEast 12][]

[Web_Java EE]: http://blog.csdn.net/fuzhongmin05/article/details/73023661
[Web]: http://blog.csdn.net/fuzhongmin05/article/details/73090088
[SouthEast]: /images/20220614/02a1359c879a409cb6fa849397218793.png
[SouthEast 1]: /images/20220614/94a82c4bdb7342519b36bbf97d79b397.png
[SouthEast 2]: /images/20220614/085ce6dd8c44454b9495ba2935c24a1c.png
[SouthEast 3]: /images/20220614/028a144dbb8b466b965ea268f5aef5e4.png
[SouthEast 4]: /images/20220614/8f279114f2f74ea3bddd679353f51d50.png
[SouthEast 5]: /images/20220614/7f3fcba7b6f64082b71b9de628df7885.png
[SouthEast 6]: /images/20220614/54a76c22db6e4f9d8fd7a0da52f8fee4.png
[SouthEast 7]: /images/20220614/bc461e45ff044b08bff341924dc85f94.png
[SouthEast 8]: /images/20220614/5ffda431f3ab4272b38583a64c9cd0e0.png
[SouthEast 9]: /images/20220614/bfa96d40c3df43eda87790bc0fcf296d.png
[SouthEast 10]: /images/20220614/6ff6fa4fcedf49b8898d4202307163b1.png
[SouthEast 11]: /images/20220614/fa1284d248414cb0964bb45f42e0c81a.png
[SouthEast 12]: /images/20220614/e2c5003195dc482ba7c929948ef748e9.png