知识大全 安全技术 Java与安全性,第1部分一
Posted 文件
篇首语:春衣少年当酒歌,起舞四顾以笑和。本文由小常识网(cha138.com)小编为大家整理,主要介绍了知识大全 安全技术 Java与安全性,第1部分一相关的知识,希望对你有一定的参考价值。
安全技术 Java与安全性,第1部分一 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!
WebLogic提供一套功能全面的安全服务 这些服务可以从各个方面保护域及其部署 这些安全服务影响到域的所有方面 从Java Security Manager提供的最底层安全性 到连接级别的安全性 再到应用级别的安全性(可以保护所管理和部署的对象 比如EJB web服务和JDBC池) 最后到域级别的安全性(可以建立两个域之间的信任) 这些安全服务的目标是 个截然不同的用户群 可以使用服务来保护其应用程序的应用程序开发人员 需要为系统和部署配置安全性的管理员 以及可以修改和扩展WebLogic所提供的功能的安全性供应商 让我们从JVM层开始 在这一层 Java Security Manager使用一个安全性策略文件来限制对特定的运行时操作的访问 这确保了运行在JVM(包括WebLogic Server本身)上的程序仅可以许可方式访问受保护的资源 例如 可以配置Java Security Manager 以便让所有线程都拥有仅对于文件系统中特定目录的写权限 通过允许为资源适配器和EJB定义另外的安全策略 WebLogic增强了Security Manager 从而确保了这些组件能够只访问已定义的资源 还有一些其他的全局高级安全性权限可以应用于这些资源和应用程序代码 WebLogic可以从客户端过滤连接请求 连接过滤器定义了一些规则 规定了如何确定服务器是接受还是拒绝客户端连接 这些规则基于几个参数 这些参数通常包括 客户端的IP地址和端口 用于建立连接的协议 以及服务器的监听地址和端口 可以为一台服务器指定多个连接过滤器 甚至可以编写自己的连接过滤器类来实现定制的过滤逻辑 例如 通过使用连接过滤器 可以很容易地确保服务器只接受来自内部网的T 连接 SSL安全性是另一种可在套接字层上使用的机制 我们在 章中已经讲述过这种机制 SSL可以通过支持数据完整性 机密性和身份验证 保护给定的网络通信 WebLogic部分地支持标准的JAAS JAAS框架是对J SE v 的一种标准扩展 现在已成为J SE v 平台的一部分 身份验证使服务器可以验证运行Java代码的用户的身份 不论它是applet servlet EJB还是应用程序 授权则使服务器能够基于用户的身份 安全权限和策略实施访问控制 WebLogic允许Java客户端使用JAAS身份验证 而且逻辑模块也是使用JAAS实现的 如果需要使用JAAS授权 就必须在WebLogic的基础架构上编写自己的模式 WebLogic的安全性基础架构建立在一组模块化的 可扩展的安全服务提供程序接口(security service provider interfaces SSPI)之上 这种架构允许插入新的安全提供程序替换旧的 并可以与用户自己的提供程序一起运行WebLogic的默认提供程序 WebLogic发行文件配备了一组安全提供程序 为SSPI提供默认实现 WebLogic的安全提供程序为J EE应用程序实现了底层安全性框架 也就是说 标准的J EE定义的安全机制是通过SSPI实现(和扩展)的 通常 WebLogic的安全提供程序会改进现有的安全约束 例如 标准的ejb jar xml部署描述符允许限定只有具有特定角色的 已通过身份验证的用户才能访问某个EJB方法 WebLogic允许改进这种约束 确保用户只在一天中的某些时段具有访问权 事实上 SSPI是一种开放的架构 可以很容易地插入来自某家安全供应商的第三方安全提供程序 另外 还可以通过实现自己的安全提供程序来构建新的安全服务 WebLogic默认的安全提供程序功能相当全 security realm(安全域)就是一个用户 组 角色 安全策略的逻辑分组 以及一整套安全提供程序 为服务器资源指定的安全策略可用于确定授权谁访问资源 WebLogic使用户可以保护所有的资源 单个EJB方法 web应用程序 web页面的集合 连接池 数据源或者任何受管理的对象 甚至可以保护JNDI树中的分支 从而防止未得到授权的客户端在JNDI树中查找对象 所有这些安全数据都保存在一台嵌入式LDAP服务器中 还可以配置WebLogic来使用外部的LDAP库 比如Open LDAP Active Directory 或Novell NDS 这些外部库只能用于身份验证 而不能用于授权 最后 WebLogic允许在两个域之间建立一种信任机制 这确保了一个域中已通过身份验证的用户可以访问另一个域中的资源 本章分析了所有这些安全机制 尽管它们彼此大相迥异 但是它们互相补充得非常好 我们从考察Java Security Manager和WebLogic如何过滤连接请求开始 然后分析WebLogic的身份验证和授权框架 并了解它如何支持标准的J EE安全服务 我们还切换使用了安全域中可用的各种安全提供程序以及它们的默认实现 最后 我们将考察如何使用JAAS进行身份验证 并举一个Authentication 和Identity Assertion提供程序的例子 Java Security Manager 在JVM层上 WebLogic可以使用标准的Java Security Manager来防止不受信任的代码执行有害的动作 可以使用安全策略文件来配置JVM 以便让运行在JVM上的所有线程都能够受限制地访问敏感的运行时操作 安全策略文件封装了一组权限 这些权限将授予给当前的JVM实例中加载的所有类(或者取消) 可以定义一整套安全权限来控制对特定资源的访问——例如 对于文件系统上某个文件夹的 写(write) 访问权限 对于特定主机和特定范围的端口的 连接(connect) 访问权限 对于环境变量的 读(read) 访问权限 对于当前类加载器的 获取(get) 访问权限 等等 要获得更多关于Security Manager和安全策略文件的信息 请参考JDK说明文档 Java的Security Manager确保运行在WebLogic中的任意代码都仅可以许可的方式访问这些重要资源 这种低级的访问控制对于第三方不受信任代码可能很有用 Java Security Manager还可以与J EE部署设置交互 例如 可以使用标准的ra xml部署描述符来定义应用于资源适配器的安全权限 WebLogic也为web应用程序和EJB提供类似的访问控制 注意 WebLogic需要有一个可用的策略文件才可以运行 startWebLogic脚本用于加载默认位于WL_HOME/server/lib/weblogic Policy下的策略文件 配置Security Manager 为了使用Java Security Manager 需要在启动WebLogic Server时从命令行提供两个选项 必须使用–Djava security manager选项 以确保安装了默认的安全管理器而且JVM通过了策略检查 必须使用–Djava security policy选项 以指定安全策略文件的位置 默认情况下 JVM使用定义在java security和java policy文件(位于JAVA_HOME/jre/lib/security文件夹中)中的安全策略 下面是使用定制的安全策略文件启动WebLogic Server的语法 java –Djava security manager –Djava security policy==c:oreilly policy weblogic Server WebLogic创建的默认启动脚本引用了位于WL_HOME/server/lib/weblogic policy下的示例安全策略文件 注意 指定java security policy参数时 我们使用了==(双等号) 这使得Security Manager使用c:oreilly policy作为它惟一的策略源 如果我们只使用一个等号 该策略文件就会与JDK安装所提供的默认安全策略文件一起使用 通常 JVM将使用安全策略文件对运行在WebLogic中的任意代码实施访问控制 这条规则惟一的例外是在WebLogic Server启动时 当服务器启动时 WebLogic部分地禁用了Java Security Manager 并使用一个禁用checkRead()方法的变体来替换它 虽然这种方法改进了启动顺序的性能 但是它也会降低JVM在启动期间的安全性 另外 它意味着WebLogic的启动类将使用这个修改过的安全管理器运行 需要确保这些类不会导致破坏安全性 注 因为策略文件决定了运行在WebLogic的JVM中的所有类的访问权限 所以建议只有管理员才能读写安全策略文件 不应该允许其他用户访问策略文件 全局安全策略 WebLogic允许为EJB 资源适配器和weblogic policy文件中的web应用程序定义安全策略 表 列出了为这些组件类型定义默认权限所用的代码基址 表 应用于J EE组件的访问权限的默认代码基址 > 可以使用这些代码基础对特定的J EE组件类型授予特殊的权限 注意 在这些代码基址下定义的任何安全策略都可以应用于所有的EJB 资源适配器和部署到特定的服务器实例的web应用程序 特定于应用程序的安全策略 还可以定义特定于某个EJB组件或资源适配器的安全策略 从而确保只以特定的组件为目标 为此 必须修改它们的部署描述符 而不是策略文件本身 资源适配器支持这种作为J EE标准一部分的机制 只需修改标准的ra xml描述符文件 对于EJB 需要修改weblogic ejb jar xml描述符文件 两种情况中 都是securitypermission元素允许用户定义另外的安全策略 让我们看一看如何为EJB指定权限 weblogic ejb jar xml描述符中的security permission元素指定了应用于打包在EJB JAR中的所有EJB的安全权限 下面的例子授予服务器文件系统中的一个临时目录对EJB的读和写的访问权限 <weblogic enterprise bean> <! webLogic enterprise bean statements go here > </weblogic enterprise bean> <security role assignment> <! the optional security role assignments go here > </security role assignment> <security permission> <description> grant permission to special folder </description> <security permission spec> grant permission java io FilePermission f: cha138/Article/program/Java/gj/201311/27282相关参考
安全技术Java与安全性,第1部分二(图) 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! 用户和
安全技术Java与安全性,第2部分二 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! Privil
Java理论与实践:描绘线程安全性[1] 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! 定义线程
Java理论与实践:描绘线程安全性[2] 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! 线程安全
知识大全 面向Java开发人员的Scala指南: 构建计算器,第1 部分
面向Java开发人员的Scala指南:构建计算器,第1部分 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一
Java开发中的线程安全选择与Swing 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! Swin
实际上就是非对称密钥加密RSA 但为什么不使用jca这些java自带的呢?因为android是非sun的虚拟机其实现方法有不同在现实使用中老是报错而且网上几乎没有资料谈到这些所以干脆自己写纯ja
一、存在的主要问题1机监农理装备设施不完善机监农理装备是保证农机监理部门正常开展农机安全监理工作的基础,但是部分地区农机监理装备不足,制约了对安全生产的管理。比如部分地区农机监理单位在下乡开展工作中,
一、存在的主要问题1机监农理装备设施不完善机监农理装备是保证农机监理部门正常开展农机安全监理工作的基础,但是部分地区农机监理装备不足,制约了对安全生产的管理。比如部分地区农机监理单位在下乡开展工作中,
轻松掌握Java泛型(第1部分) 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! JSE-代号为T