Basic Security với Servlet và Tomcat Đào Anh Tuấn – datuan@fit.hcmuns.edu.vn Giới thiệu • Một số kiểu chứng thực người dùng đơn giản: ▫ Basic ▫ Digest ▫ Form ▫ Client Certificate • Cài đặt SSL trên Tomcat • Virtual Host Chứng thực người dùng • Servlet hỗ trợ khá nhiều giao thức để chứng thực người dùng: ▫ Basic ▫ Digest ▫ Form Authen ▫ Client Certificate • Database về username / password sẽ do Tomcat quản lý, thông qua các Realm Cấu hình tomcat • Mặc định các user này lấy trong file tomcat-users.xml; ta có thể cấu hình để lưu trong các CSDL hoặc trong các file khác (cấu hình trong file conf/server.xml) <Resource name="UserDatabase" auth="Container" type="org.apache.catalina.UserDatabase" description="User database that can be updated and saved" factory="org.apache.catalina.users.MemoryUserDatabaseFactory" pathname="conf/tomcat-users.xml" /> </GlobalNamingResources> <Realm className="org.apache.catalina.realm.UserDatabaseRealm" resourceName="UserDatabase"/> Cấu hình Realm • Tomcat hỗ trợ các loại Realm sau: ▫ JDBCRealm - Accesses authentication information stored in a relational database, accessed via a JDBC driver. ▫ DataSourceRealm - Accesses authentication information stored in a relational database, accessed via a named JNDI JDBC DataSource. ▫ JNDIRealm - Accesses authentication information stored in an LDAP based directory server, accessed via a JNDI provider. ▫ MemoryRealm - Accesses authentication information stored in an in-memory object collection, which is initialized from an XML document (conf/tomcat-users.xml). ▫ JAASRealm - Accesses authentication information through the Java Authentication & Authorization Service (JAAS) framework. • Xem thêm trong tài liệu: http://tomcat.apache.org/tomcat-5.5- doc/realm-howto.html Cấu hình thử file tomcat-users • Đây là nơi chứa các users và roles mặc định của tomcat <?xml version='1.0' encoding='utf-8'?> <tomcat-users> <role rolename="system"/> <role rolename="manager"/> <role rolename="admin"/> <user username="system" password="system" roles="system"/> <user username="admin" password="admin" roles="manager,admin"/> </tomcat-users> Cấu hình Authentication cho ứng dụng web • Cấu hình thông qua trang web.xml • Trước hết tạo trang web index.jsp chứa bất kỳ nội dung nào. • Sau đó, ta sẽ yêu cầu chỉ các user thuộc role system của hệ thống mới được truy xuất file này. Định nghĩa roles • Định nghĩa lại role(s) system, đây là role đã được định nghĩa trong file tomcat-users.xml • Lưu ý: hệ thống servlet là hệ thống có đặt tính case-sensitive (System != system) Định nghĩa các resource sẽ được bảo vệ • Mặc định ở đây ta bảo vệ các file *.jsp, method GET và POST Qui định phương thức chứng thực • Để đơn giản ta chọn Basic (password gửi đi dạng clear text). • Theo đúng lý thuyết, Realm phải chọn trùng tên với Realm trong Tomcat, nhưng ở đây đơn giản ta có thể dùng để nhập một thông báo. . tài liệu: http:/ /tomcat. apache.org /tomcat- 5.5- doc/realm-howto.html Cấu hình thử file tomcat- users • Đây là nơi chứa các users và roles mặc định của tomcat. Basic Security với Servlet và Tomcat Đào Anh Tuấn – datuan@fit.hcmuns.edu.vn Giới thiệu • Một số kiểu chứng thực người dùng đơn giản: ▫ Basic ▫