J2EE的安全认证机制
J2ee试卷
பைடு நூலகம்
除的操作 B 过滤器要实现 javax.servelt.Filter 接口 C doFilter(ServletRequest request,ServletResponse response,FilterChain)在每次 HTTP 请求时执行过滤 D servelt 的过滤器 API 主要包括 javax.servelt.Filter,javax.servelt.Filterchan 和 javax.servelt.FilterConfig 接口 8 servlet API 提供了基本的(D)接口,能够管理 servlet 事件,控制 servletcontent、 HTTPsession 和 request 的生命周期,处理属性变化事件。 A Request B Session C Response D event listener 9 JSP(A)使用 XML 语法书写,在请求处理阶段起作用,它最影响 JSP 运动的行为和发送给 客户的输出流 A 动作元素 B 脚本元素 C 指令元素 D 内置对象 10 以下对 JSP 说法错误的是(C) A JSP 是 Servlet 的扩展,它是 Servlet 的一种特殊形式 B JSP 文件不一定需要生成 Servlet 才能运行 C JSP 是由 Sun 公司提出的一种动态网页标准 D JSP 文件必须在 JSP 服务器内运行 11 JSP 页面中静态的 HTML 和 XML 内容称为(C) A JSP 动作元素 B 内置对象 C 模板元素 D JSP 脚本元素 12 (C)是可以确保在数据库上完整的执行一系列操作,具有原子性 A 会话 B 事务 C 连接 D 生命周期管理 13 在 Oracle JDBC 中,当创建了一个 connection 对象之后,需要创建一个(A)对象,用于 执行查询操作 A Statement B Drivermanager C Resultset
EETrust统一身份认证平台(UAP)技术方案
1. 概述统一身份认证平台是基于PKI(Public Key Infrastructure)理论体系,利用CA、数字签名和数字证书认证机制,综合应用USB接口智能卡、安全通道、VPN等技术,为门户、OA等多业务系统用户提供统一身份认证和安全服务的综合平台。
1.1 认证系统实现目标本方案是按本地用户需求规划构建的统一身份认证平台,为本地用户各业务系统提供统一的身份认证和综合安全服务,以实现内联网、外联网及移动办公的统一认证:(1)建立本地用户自己独立的CA数字证书受理系统⏹基于CA,为平台各系统用户统一颁发数字证书;⏹支持数字证书的USB-KEY存储;(2)实现多应用的统一身份认证⏹统一的认证门户;⏹支持多个B/S结构、C/S结构的业务系统接入平台;⏹平台对用户统一授权和认证;⏹每一用户只使用一个USB-KEY访问所有被授权的系统;(3)移动办公安全⏹使用同一种认证方式进行VPN接入认证;⏹能够根据用户组授权访问不同的应用系统;⏹完善的日志和报表,提供用户登录、退出的时间等信息;(4)应用数据安全⏹本地文件使用个人证书进行加密保存和读取;⏹OA系统中秘密文件的加密存储和加密传输;⏹OA系统中电子邮件的签名和加密传输;1.2 统一身份认证平台主要功能门户系统(Portal)——各业务系统信息资源的综合展示。
统一授权——平台为用户统一颁发数字证书和私钥并存储在USB-KEY中,作为用户访问平台及各应用系统的凭据,并对用户访问应用系统的权限进行授权。
身份认证——用户在访问平台及各应用系统时,都使用相同的凭据(即包含用户证书和私钥的USB-KEY及其硬件保护口令PIN),并利用数字签名技术在平台进行身份认证,证明其身份的真实性。
单点登录(SSO)——用户在通过平台认证后,可直接访问已授权的各应用系统,实现不同应用系统的身份认证共享,从而达到多应用系统的单点登录。
数据共享——认证平台存储了用户的基本信息和证书信息,所有应用系统均可以充分利用这些信息,减少用户信息的重复录入。
基于JAAS安全机制的J2EEWeb系统用户身份认证设计
文 章 编 号 : 1 0 ・ 3 2 ( 0 )0 -0 40 067 0 2 1 1 30 7 ・5
基 于 J AS安全 机 制 的 J E b系统 A 2 We E
用户 身份 认证 设 计
刘 景 林
( 州经 贸职业技 术 学院 泉 信 息技 术 系,福 建 泉 州 3 2 0 ) 60 0
o AAS Se u iy M e h n s nJ c rt c a im
L U Jn -i I ig l n
( eat n fnom t n eh o g, u nh u o a o a a dT c ncl o ee f D pr met fr ai cn l y Q a zo ct nl n eh ia C l g oI oT o V i l o E oo yadTa e Q a zo 6 0 0 C ia cn m n rd , u nh u3 2 0 , hn )
sa k a t n i a in o 5 9 d gt lc ri c to n s ra t e tc to a s r Th S mu u l t c u he tc to fX. 0 iia e tf ai n a d u e u h n i ai n p s wo d. e S L t a i a t e tc t0 s s tu n t e To a o a h e e a t e tc to e we n t e s r e n le ta d u h n ia i n i e p i h mc tt c i v u h n i ai n b t e h e v r a d ci n n HT TPS c n e to S a e e t b ihe o p o e tt e s c rt fd t r ns s i n a u t ri o n ci n r s a ls d t r tc h e u iy o a a ta miso nd f rhe mpr v oe
ATA J2EE(上)
1(C)容器是一个组件和支持组件的底层平台特定功能之间接口,在一个web组件、EJB或是一个应用程序客户端组件可以被执行前,它们必须被装配到一个J2EE应用程序中,并且部署到其中。
A AppletB javaBeanc ServetD HTML2(C)是最安全的验证方式,使用HTTP的SSL链接,进行安全认证.A HTTP基本验证方式B 基于表单的验证C 客户凭证验证D 摘要验证3 (A)是Java标准版中实现SSL连接和TSL协议的技术A JSSEB JAASC JMSD JMAIL4(B)是可复用的组件,能够在可视化构建器中使用,也可以在传统的用户程序中使用,他没有严格的规范,通常情况下,它是被Tomcat这样的容器所创建,需要一个无参数的构造器A JSPB JavaBeanC EJBD EIS5 对于JavaBean类的编码器规范,说法是错误的是(B)A 属性值的获取采用get加上第一个字母大写的属性名来命名,并且该方法是公有法(public修饰),返回值类型就是对应属性的类型。
B 默认构造器是私有的(private修饰),并且没有参数。
C 属性值的设置采用set加上第一个字母大写的属性名来命名,并且该方法也是公有法(public修饰),并且没有返回值。
方法的参数类型为对应属性的类型。
D 所有属性都是私有的(private修饰)。
6 为了让servlet能响应用户请求,需要将servlet配置在web应用中,配置servlet是需要修改web.xml文件,主要需要(C)A 配置数据源B 配置应用服务器端口C 配置Servlet的名字:对应web.xml文件中的<Servlet/>元素D 配置Servlet的事件7 下对servlet过滤器说法错误的是(C)A javax.servelt.Filter接口包含init()和destory()方法,执行初始化操作和从容器中清除的操作B 过滤器要实现javax.servelt.Filter接口C doFilter(ServletRequest request,ServletResponse response,FilterChain)在每次HTTP请求时执行过滤D servelt的过滤器API主要包括javax.servelt.Filter,javax.servelt.Filterchan和javax.servelt.FilterConfig接口8 servlet API提供了基本的(D)接口,能够管理servlet事件,控制servletcontent、HTTPsession和request的生命周期,处理属性变化事件。
基于JAAS安全机制的J2EE Web系统用户身份认证设计
的 , 以集 成 多种 认 证技 术 , 可 使 J E 可 这 2 E应 用 系统 独 立 于底 层 的认 证 技术 , 方便 其灵 活 地 选择 与 修改 所
使 用 的认证 技术 , 可 以实现 多种认 证机 制 的堆叠 认 证 , 认证 技术 提供 了一 种实 现 J E b系统 安全 也 该 2 E we 认证 的解决 方案 .
1 JA A S安 认 证 机 制
11 J . AAS概 述
J AAS J v t e t aina dAuh r ain S rie 是 J E (a aAu h ni t n to i t evc ) 2 E架构 的 验证 与 授权 框 架 , 提供 了灵 c o z o 它 活、 可伸 缩 的实 体 认证 与 访 问控 制 的安 全 机制 , 决 了安 全 管 理 系统 中 的认 证 与授 权 问题 . A 解 J AS侧 重 于
关 键 词 : AAS安全机 制 ; 2 E应 用 系统 ;身份认 证 J JE 中 图法分 类号 : 3 3 0 TP 9 . 8 文 献标 识码 : A
0 引 言
随着 J v 技 术应 用 的不 断普 及 ,2 E 已 日渐 成 为 企 业 级 软 件 开 发 的首 选 平 台 , 于 J E aa JE 基 2 E架 构 的 We b系统 广泛 应用 于 电子政 务 、 电子商 务 及 网上银 行 等 其 他 安 全 性 要求 较 高 的领 域 , 由于 I tr e 中 但 n en t 存 在诸 多 不安全 因素 , 于在 实现 网上 业 务 的 同 时 , 何 提 高 系 统用 户 认 证 和 数 据传 输 等 方 面 的 安 全 问 对 如 题, 已成 为系统 开发 人员 关注 的 重 点 , 于 J E 关 2 E架 构 安 全方 面 的研 究 也 在 不 断 地深 入 . AAS技 术 作 为 J
J2EE平台双因素认证的设计与实现
程序 之间 的交互性 要健 壮. S 公 司顺 应 要 求 出 台了 RA 公开 密 钥 加 密 标 准 ( K S 来 满 足 这 一 需 求. KC P C ) P S 11是 P C 1] 1 K S系 列标 准 中 的一 个. K S 1 标 准被 设 P C 1
用程 序 的接 口( I. 些 AP 使应 用程 序从 与 密 钥 AP ) 这 I 设备 底层 交互 中脱 离 出来 . 遵 循 一 种基 于对 象 的 简 它 单 方法 , 出技术 独立 性 ( 种各 样 的设 备 和资 源 共 提 各 享 ( 个应用 程 序访 问 多 个设 备 ) 目标 , 多 的 把设 备 的一 种 通用 的逻辑 视 图 , 即密码 令牌 , 供给应 用程序 . 提
S n公 司 J S . u 2 E 5 0的 发 布 , 供 了 J 提 AVA 对
双 因素认证 系统 就是 将 用户 密码 口令 ( I 认 证 P N)
和基 于 US K y的 P I 证两种 方 式综 合 的应 用. B e K 认 通
P S1 KC 1的支 持 . 是 通 过 提 供 一 个 新 的供 应 ( u 它 Sn
源 的保护 也提 出了越 来 越 高 的 要 求. 问 服 务 器上 的 访
信息 资源 时 , 常用 的 网络 登 录方 法 是 输 入 用 户 名和 最 密码 , 并且 密码是 可 多次重 复使 用. 这种 传统 的认 证方 式存 在潜在 的危 险 : 一 , 旦 用 户 的 密码 被 盗 , 么 第 一 那 该用 户 的私有信 息就 要 被 暴 露 , 以传 统 的 认 证 方式 所 的强度不 够 ; 二 , 证 的过 程 中 , 果 认 证 数 据包 被 第 认 如 复制 , 么就存在 着 重放 的危 险. 那
基于ejbca搭建自己的CA认证中心之ejbca安装配置指南
基于EJBCA搭建自己的CA认证中心之EJBCA安装配置指南出家如初,成佛有余目 录1. 概述 (3)2. 软件环境 (3)3. EJBCA基本架构 (4)4. EJBCA的部署模式 (4)5. JDK安装 (5)6. Java(TM) Cryptography Extension (JCE)安装 (5)7. ANT安装 (6)8. Jboss安装 (7)9. Mysql安装配置 (8)10. 环境变量配置 (8)11. EJBCA安装配置 (9)12. 导入p12格式的证书说明 (10)1.概述PKI(Public Key Infrastructure ) 即"公钥基础设施"较好地解决了Web 应用中的机密性、完整性、真实性和抗否认性等安全问题。
但在Web 环境下,还必须证明公钥与其持有者之间的映射关系,并认证密钥持有者的身份。
数字证书很好地解决了这个问题。
同样,在分布式环境下,还应该建立起安全、有效的证书管理机制,实现证书的生成、存储、分发、吊销等操作,从而为Web 应用乃至网络通信提供必要的密钥和证书服务。
公钥基础设施PKI 就是这样的一种提供安全服务的基础设施。
PKI 的核心是对证书及其公/私钥对的管理。
同时,PKI 也代表着一种分布式的信任模型关系,它首先要选择或定义证书格式及其操作过程,其次需要明确证书签发机构或个人之间的信任关系。
EJBCA就是这样一个针对PKI证书体系企业级的开源解决方案。
它基于J2EE技术,提供了一个强大的、高性能并基于组件的CA体系。
EJBCA兼具灵活性和平台独立性,能够独立使用,也能和任何J2EE应用程序集成。
2.软件环境操作系统:Centos 5.4数据库:mysql 5.0JDK:jdk 1.6EJBCA:ejbca 3.9.3ANT: ant 1.7.1JBOSS:jboss 4.2.3约定ejbca及相关软件都安装在/opt/目录下。
招投标系统-系统架构
天诚招投标系统
系统架构
设计理念
系统设计服务于统一的战略目标——提高采购部门与招标部门的业务水平和决策水平、提高采购效率、降低采购成本,实现采购业务管理的科学化、规范化、法制化和现代化。
系统设计是以全局为出发点,“以业务为导向,以数据为核心,以集成为重点,以应用为目的”作为总的设计理念,统筹规划,严格管理。
并采用面向对象、面向服务、J2EE、组件化和构件化等先进技术和方法,做到技术先进,系统完整,架构统一,结构开放,可扩展性强和网络安全。
应用架构
招评标管理系统的应用架构主要分为三部分:功能模块层、基础服务层以及与其他系统的接口。
基础服务层:通过底层的工作流平台、安全认证机制、消息路由机制保障了信息数据的安全、有效的交互。
功能模块层:定义了招评标管理系统的相关应用功能,包括了招投标管理系统及系统网站的相关功能模块。
与其他系统的交互:招评标管理系统通过内外网防火墙网关等一系列安全机制,实现与其他外部系统的数据交互。
应用架构图
部署架构
招标方人员通过内网访问相关的内网系统;供应商可以通过外网以HTTP/HTTPS 协议登录招投标系统网站。
在系统部署的各个环节引入身份验证、访问控制等多层次的保密手段,从物理、传输、网络、应用等方面保障系统和系统中传输的数据的安全和防篡改。
部署架构图。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
J2EE的安全认证机制序的设计人员和编程人员必须面对的任务。
在J2EE中,Web容器支持应用程序内置的安全机制。
Web应用程序的安全机制有二种组件:认证和授权。
基于J2EE的Web容器提供三种类型的认证机制:基本认证、基于表单的认证、相互认证。
由于能够对认证用户界面进行定制,大多数的Web应用程序都使用基于表单的认证。
Web容器使用在Web应用程序的部署描述符中定义的安全角色对应用程序的Web资源的访问进行授权。
在使用基于表单的认证机制中,应用程序的设计人员和开发人员会遇到3 类问题:•基于表单的认证如何与数据库和LDAP等其他领域的安全机制协同工作。
(这是非常必要的,因为许多组织已经在数据库和LDAP表单中实现了认证机制。
)•如何在Web应用程序的部署描述符(web.xml)中增加或删除军政府的授权角色。
• Web容器在Web资源层次上进行授权;应用程序则需要在单一的Web资源中执行功能层次上的授权。
尽管有许多与基于表单的认证有关的文档和例子,但都没有能够阐明这一问题。
因此,大多数的应用程序都以自己的方式襀安全机制。
本篇文章说明了基于表单的认证如何与其他方面的安全机制,尤其是数据库中的安全机制协作的问题。
它还解释了Web窗口如何使用安全角色执行授权以及应用程序如何扩展这些安全角色,保护Web资源中的功能。
基于表单的认证基于表单的认证能够使开发人员定制认证的用户界面。
web.xml 的login-config 小节定义了认证机制的类型、登录的URI和错误页面。
v login-config >v auth-method > FOR V /auth-method > v form-login-configv form-login-page /form-login-page >v form-error-page/form-error-page >v /form-login-configv /logi n-config > 登录表单必须包含输入用户姓名和口令的 字段,它们必须被分别命名为 j_username 和 j_password , 表 单 将 这 二 个 值 发 送 给F 面是一个该表单如何在 HTML 网页中实现的例子:v form method="POST" action="j_security_check" >v input type="text" name="j_username" > >> /logi n.jsp v > /fail_login.html v >j_security_check 逻辑名字v in put type="password" n ame="j_password" >v /form >除非所有的连接都是在SSL上实现的,该表单能够透露用户名和口令。
当受保护的Web资源被访问时,Web容器就会激活为该资源配置的认证机制。
为了实现Web应用程序的安全,Web容器执行下面的步骤:1、在受保护的Web资源被访冋时,判断用户是否被认证。
2、如果用户没有得到认证,则通过重定向到部署描述符中定义的注册页面,要求用户提供安全信任状。
3、根据为该容器配置的安全领域,确认用户的信任状有效4、判断得到认证的用户是否被授权访问部署描述符(web.xml )中定义的Web资源。
象基本的安全认证机制那样,在Web应用程序的部署描述符中,基于表单的认证不指定安全区域。
也就是说,它不明确地定义用来认证用户的安全区域类型,这就会在它使用什么样的安全区域认证用户方面引起混淆。
要对用户进行验证,Web窗口需要完成下面的步骤:1、判断该容器配置的安全区域。
2、使用该安全区域进行认证。
由于数据库和LDAP在维护信息方面提供了更大的灵活性,因此大多数组织都会希望继续使用它们维护安全认证和授权信息。
许多Web窗口都支持不同类型的安全区域:数据库、LDAP和定制区域。
例如,在Tomcat Web 容器中,server.xml 将数据库配置为其安全区域。
v RealmclassName="org.apache.catalina.realm.JDBCRealm"debug="99"driverName="oracle.jdbc.driver.OracleDriv er"connectionURL="jdbc:oracle:thin:@{IPAddre ss}:{Port}:{Servicename}"connectionName="{DB Username}" connectionPassword="{Password}"userTable="users" userNameCol="username" userCredCol="password"userRoleTable="user_roles"roleNameCol="rolename"/ >Tomcat 的server.xml 的v Realm>标志定义了窗口用来识别一个用户的安全区域的类型。
注意,容器对Web应用程序使用该区域,应用程序的认证机制是基于表单的。
授权一旦用户被识别后,容器就会得到认证用户的安全角色,看用户是否属于在部署描述符中的v auth-c on strai nt >标志中定义的安全角色之一。
如果用户不属于任何一个安全角色,则容器会返回一个错误。
部署描述符( web.xml ) 的v security-c on strai nt >标志定义了被保护的Web资源和能够访问这些资源的安全角色清单。
v security-c on stra int >v web-resource-collectio n >v web-resource-name > Adm in Pages v/web-resource-name >v description > accessible by authorised users v /description >v url-pattern >/admin/* v /url-pattern >v http-method > GE"V /http-method >v /web-resource-collecti on >v auth-constraint >v description > These are the roles who have access v /descripti on >v role-name > manager v /role-name >v /auth-c on strai nt >v /security-c on stra int >Web窗口在网页层次上执行认证。
然而,商业性应用程序可能还希望对一个网页内的功能进行认证,这会要求在应用程序中定义一些新的附加的与应用程序有关的安全角色。
为了控制对功能的访问,应用程序需要理解角色的权限概念。
Web容器标准没有解决权限的问题。
由于授权角色是动态的,开发人员常常会感到迷惑,即这些安全角色是否需要添加到部署描述符中。
为了使应用程序充分利用安全支持,Web 容器只需要在部署描述符中定义的一个角色。
因此,应用程序可以定义一个高层次的角色,然后将所有的用户都指派给该角色。
这将使该角色中的所有用户都拥有能够访问Web资源的权限。
另外,应用程序还可以定义额外的角色,执行对一种Wet资源中较低层次的功能的授权。
由于应用程序已经配置有一个包含应用程序中所有用户的高层次安全角色,这些低层次的安全角色也就不需要在部署描述符中进行定义。
这使得Wet应用程序能够利用容器的授权支持,实现与指定应用程序有关的授权。
我们可以在部署描述符中为所有用户定义一个高层次的管理员角色,保护管理类Web资源,这使得管理员角色中的所有用户都能够访问管理网页。
为了控制管理网页中的其他功能,我们可以在应用程序中创建sysadmin 或appadmin 等新的角色。
应用程序可以对这些安全角色进行扩展,使它们拥有一定的权限。
然后,应用程序可以使用这些权限来控制对其功能的访问。
尽管与特定应用程序相关的安全角色不是定义在部署描述符中的,这些角色仍然可以在isUserInRole 方法中使用,判断用户是否在这些安全角色中。
优点•Web应用程序无需实现认证机制,简化Web 应用程序的配置。
-Web应用程序能够使用getRemoteUser、IsUserInRole 和getUserPrincipal 方法实现有规划的安全。
-Web应用程序能够将认证信息传播给EJB 容器。
在Tomcat 中配置数据库安全区域该数据库表需要有user name和password 个字段。
create table users (username varchar(20) not null, password(20) not null)2、创建角色表该表维护着应用程序中角色的清单,它仅仅有rolename 一个字段。
create table roles (rolename varchar(20) not null)3、创建用户- 角色关联表该表维护着一个用户和各个角色之间的关联,一个用户可以属于一个或多个角色。
create table user_roles (username varchar(20) not null, rolename varchar(20) not null)4、在表中插入数据insert intousers values('user1', 'password')insert into role values('manager')insert into user_roles values('user1', 'manager')5、创建用户表。
该数据库表需要有user name和password 个字段。
create table users (username varchar(20) not null, password(20) not null)6、创建角色表该表维护着应用程序中角色的清单,它仅仅有rolename 一个字段。