1. Trang chủ
  2. » Công Nghệ Thông Tin

Bảo mật Servlet và Tomcat

29 2K 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 29
Dung lượng 298,34 KB

Nội dung

Basic Security với Servlet Tomcat Đào Anh Tuấn – datuan@fit. hcmuns.edu.vn Giới thiệu • Một số kiểu chứng thực người dùng đơn giản: ▫ Basic ▫ Digest ▫ Form ▫ Client Certificate • Cài đặt SSL trên Tomcat • Virtual Host Chứng thực người dùng • Servlet hỗ trợ khá nhiều giao thức để chứng thực người dùng: ▫ Basic ▫ Digest ▫ Form Authen ▫ Client Certificate • Database về username / password sẽ do Tomcat quản lý, thông qua các Realm Cấu hình tomcat • Mặc định các user này lấy trong file tomcat-users.xml; ta có thể cấu hình để lưu trong các CSDL hoặc trong các file khác (cấu hình trong file conf/server.xml) <Resource name="UserDatabase" auth="Container" type="org.apache.catalina.UserDatabase" description="User database that can be updated and saved" factory="org.apache.catalina.users. MemoryUserDatabaseFactory" pathname="conf/tomcat-users.xml" /> </GlobalNamingResources> <Realm className="org.apache.catalina.realm. UserDatabaseRealm" resourceName="UserDatabase"/> Cấu hình Realm • Tomcat hỗ trợ các loại Realm sau: ▫ JDBCRealm - Accesses authentication information stored in a relational database, accessed via a JDBC driver. ▫ DataSourceRealm - Accesses authentication information stored in a relational database, accessed via a named JNDI JDBC DataSource. ▫ JNDIRealm - Accesses authentication information stored in an LDAP based directory server, accessed via a JNDI provider. ▫ MemoryRealm - Accesses authentication information stored in an in-memory object collection, which is initialized from an XML document (conf/tomcat-users.xml). ▫ JAASRealm - Accesses authentication information through the Java Authentication & Authorization Service (JAAS) framework. • Xem thêm trong tài liệu: http://tomcat.apache.org/tomcat-5.5- doc/realm-howto.html Cấu hình thử file tomcat-users • Đây là nơi chứa các users roles mặc định của tomcat <?xml version='1.0' encoding='utf-8'?> <tomcat-users> <role rolename="system"/> <role rolename="manager"/> <role rolename="admin"/> <user username="system" password="system" roles="system"/> <user username="admin" password="admin" roles="manager,admin"/> </tomcat-users> Cấu hình Authentication cho ứng dụng web • Cấu hình thông qua trang web.xml • Trước hết tạo trang web index.jsp chứa bất kỳ nội dung nào. • Sau đó, ta sẽ yêu cầu chỉ các user thuộc role system của hệ thống mới được truy xuất file này. Định nghĩa roles • Định nghĩa lại role(s) system, đây là role đã được định nghĩa trong file tomcat-users.xml • Lưu ý: hệ thống servlet là hệ thống có đặt tính case-sensitive (System != system) Định nghĩa các resource sẽ được bảo vệ • Mặc định ở đây ta bảo vệ các file *.jsp, method GET POST Qui định phương thức chứng thực • Để đơn giản ta chọn Basic (password gửi đi dạng clear text). • Theo đúng lý thuyết, Realm phải chọn trùng tên với Realm trong Tomcat, nhưng ở đây đơn giản ta có thể dùng để nhập một thông báo. [...]... xmlValidation="false" xmlNamespaceAware="false"> • Ta nén cả 2 ứng dụng web thành các file ROOT war (case-sensitive, mặc định TomCat giải nén các file ROOT.war thành default application của mỗi host) • File ROOT.war của ứng dụng banhang vào thư mục tomcat/ web1, ROOT.war của ứng dụng blog vào thư mục tomcat/ web2 • Lưu ý: file context.xml của mỗi ứng dụng web, sửa cấu hình path có giá trị path=“” (ứng dụng gốc) Test... dụ: Ta có 2 thư mục chứa các ứng dụng web khác nhau: ▫ Tomcat_ Home/web1/index.jsp -> Trang web bán hàng, có domain name là www.banhang.com ▫ Tomcat_ Home/web2/index.jsp -> Trang web blog, có domain name là www.blog.com • Cả 2 domain name này đều chỉ vào địa chỉ IP của máy chủ chứa web server Virtual host (tt) • Ta sẽ cấu hình các virtual host trong TomCat_ Dir/conf/server.xml . Security với Servlet và Tomcat Đào Anh Tuấn – datuan@fit. hcmuns.edu.vn Giới thiệu • Một số kiểu chứng thực người dùng đơn giản: ▫ Basic ▫ Digest ▫ Form ▫ Client Certificate • Cài đặt SSL trên Tomcat •. trong tài liệu: http:/ /tomcat. apache.org /tomcat- 5.5- doc/realm-howto.html Cấu hình thử file tomcat- users • Đây là nơi chứa các users và roles mặc định của tomcat <?xml version='1.0'. nghĩa trong file tomcat- users.xml • Lưu ý: hệ thống servlet là hệ thống có đặt tính case-sensitive (System != system) Định nghĩa các resource sẽ được bảo vệ • Mặc định ở đây ta bảo vệ các file

Ngày đăng: 14/05/2014, 16:37

TỪ KHÓA LIÊN QUAN

w