Auf der Suche nach einer einfachen, sicheren Sitzung-design mit servlets und JSP

Ich arbeite an einer intranet-web-Anwendung (J2EE), erfordert einige grundlegende Sicherheits-features. Es gibt relativ wenige autorisierte Benutzer für die Seite, aber ich muss es noch implementieren, irgendeine Art von sicheren Sitzung.

Den grundlegenden Ablauf ich freu mich auf Besuch-site => log-in => site => Abmelden wenn Sie fertig sind (oder automatisch Abmelden, wenn der browser geschlossen wird). Nichts besonderes, nicht einmal eine "remember me" - option bei der Anmeldung. Die meiste Arbeit für die Authentifizierung ist bereits getan - die Website ist zugänglich nur über https, und ich habe eine Datenbank, die speichert Benutzernamen und (verschlüsselte) Passwörter.

So, nachdem sich der Benutzer angemeldet hat, was ist der einfachste (im Idealfall keine cookies hinaus, was JBoss/JSPs tun würde, hinter den kulissen) Art und Weise zu implementieren, die eine sichere Sitzung? I. E. verhindern, dass Benutzer nur direkt anfordert Seiten über den login-Bildschirm, etc.

Ist es nur eine Frage der überprüfung der session für einige "isUserAuthenticated"-wie Wert und überprüft, ob die session existiert (z.B. request.getSession(false)) für alle eingehenden Anfragen in meinem servlet? Was ist zu verhindern, dass Benutzer erste JSP-Dateien und erzwingen Sie die Verwendung einer servlet für alle Anforderungen? Alle anderen überlegungen (und deren Lösungen)?

  • Für den ersten Teil, möchten Sie vielleicht zu prüfen, stackoverflow.com/questions/348090/...
  • Das ist definitiv die Art von Sache, die ich im Sinn hatte. Nicht, dass es ist eleganter (ich vermute, ich würde nur schauen, dass der Wert bei jeder Anforderung der Seite), aber es scheint sehr minimal.
  • Ich habe angesprochen, Ihre Fragen in einem Kommentar - bitte werfen Sie einen Blick. Während es offensichtlich Ihrer Wahl auf, wie Sie diese umsetzen, Bedenken Sie, dass, während es gibt einige, die Lernkurve beteiligt, mit dabei "der richtige Weg", es ist tatsächlich leichter und einfacher am Ende (wir sind buchstäblich sprechen über vielleicht 15-20 Zeilen von XML; das ist es).
  • BTW, ich sage nicht, dass die akzeptierte Antwort ist der richtige Weg, dies zu tun, ziehe ich den security-constraint Weg.
InformationsquelleAutor Matt Ball | 2009-11-19
  1. 6

    Klingt wie Sie können einfache deklarative Sicherheitsansatz.

    Werfen Sie einen Blick auf Java EE Tutorial-Sektion für Sicherung Von Web-Anwendungen , besonders bei deklarative Sicherheit Abschnitt

    Für spezielle Fragen:

    Was ist der einfachste Weg ...
    implementieren Sie eine sichere Sitzung? I. E.
    verhindern, dass Benutzer nur direkt
    anfordern von Seiten, die über die login
    Bildschirm, etc.

    Erklären Sie Ihre URLs im Web-App-descriptor (web.xml) mit einer entsprechenden Sicherheitsrolle. Sie werden unzugänglich für nicht autorisierte Benutzer (und Versuch Zugang zu Ihnen zu bringen forth eine login-Seite).

    Ist es nur eine Frage der überprüfung der
    Sitzung für einige
    "isUserAuthenticated"-wie Wert,
    überprüfen Sie, dass die Sitzung vorhanden ist (z.B.
    Anfrage.getSession(false)) für alle
    eingehende Anfragen in meinem servlet?

    Alle, die völlig unnötig; - servlet-container, wird es für Sie tun hinter den kulissen.

    Was verhindert
    erste JSP-Dateien und Sie zu zwingen,
    verwenden Sie ein servlet für alle Anforderungen?

    Wie lange JSPs noch nie öffentlich zugegriffen werden müssen (z.B. Sie weiterleiten, um Sie in Ihrem servlet; du bist nie umleiten an eine JSP) Sie können erklären, Ihre URLs in einer Sammlung mit Sicherheit eine Rolle, dass ist eigentlich niemals einem Benutzer zugewiesen.

    • +1 für die gute Antwort und schneller 🙂
    • Ich habe mit der DD für die Sicherheit vor, und es schien wie overkill. Ich habe nicht wirklich mehrere Sicherheitsrollen, oder etwas ähnliches; nur gültige (oder ungültige) Benutzername - /Passwort-Kombinationen. Bei deklarativer Sicherheit, wie kann ich (als Java-Programmierer) dem server mitzuteilen, dass ein bestimmter Benutzername/Kennwort ist nicht gültig für ein bestimmtes login-Versuch? Das tutorial sagt auch" Beim erstellen eines Formular-basierte Anmeldung, sicher sein, zu pflegen Sitzungen anhand von cookies oder SSL-session-Informationen", die ist, was ich versuche zu vermeiden.
    • Sie müssen nicht mehrere Rollen haben, eine ist genug (zwei, wenn Sie einschränken möchten, JSPs). Wie bestimmen Sie, ob Benutzer / Passwort gültig ist, ist ein container-spezifisches; für Tomcat können Sie tun, indem Sie ein Reich (tomcat.apache.org/tomcat-6.0-doc/realm-howto.html#JDBCRealm) oder schreiben Sie Ihre eigenen. Ich bin mir nicht sicher, was du meinst mit "vermeiden " cookies" - session, die gepflegt werden muss irgendwie (container befasst sich mit cookies, nicht du). Wenn die Plätzchen sind nicht akzeptabel, können Sie url-rewriting (details sind in den tutorial-link)
    • danke 🙂
    • Solange der container befasst sich mit cookies, das ist in Ordnung. Ich denke, rolling meinem eigenen user/pw Validierung ist der Weg zu gehen (da es bereits getan) - aber wie kommuniziere ich diese an den container? Ich bin mithilfe von JBoss, so dass ich denke, dass bedeutet, der container ist Tomcat.
    • Für Tomcat, es ist sehr einfach - Sie müssen nur geben Sie eine Welt, in der Kontext-Konfiguration (es gibt einen link zur Dokumentation in meinem Kommentar oben). Für JBoss (wenn Sie nur servlets / JSP warum brauchen Sie die volle app-server?) es ist ein bisschen mehr beteiligt. Sie benötigen für die Konfiguration einer datasource (was Sie möglicherweise schon getan), und eine passende LoginModule (jboss.org/community/wiki/DatabaseServerLoginModule). Werfen Sie einen Blick auf das (docs.jboss.org/jbossas/getting_started/v4/html/dukesbank.html) für ein umfassenderes tutorial.
    • Ich schon lernen, und ich erstellen Sie die Sitzung und setzen Sie das Attribut wie in diesem. session.setAttribute("user", user); Ich mich eingeloggt habe zwei verschiedene browser, die durch unterschiedliche Benutzer. Aber wenn ich JSESSIONID von einem browser, und fügen Sie es in einem anderen browser-user die JSESSIONID (mit browser-jessesion-editor-Erweiterung) dann war ich in der Lage, Zugriff auf andere Benutzer-Profil. Warum? keine Hilfe?

    InformationsquelleAutor ChssPly76
Schreibe einen Kommentar