文档章节

Tomcat中的领域(Realm)

摆渡者
 摆渡者
发布于 2017/07/24 21:06
字数 1380
阅读 23
收藏 0

Servlet container和Web应用程序本身都可以控制Web应用程序资源的安全防护。在J2EE规范中,前者成为容器管理(container-managed)的安全防护,后者称为应用程序管理(application-managed)的安全防护。为了使用Tomcat的容器管理的安全防护机制,必须设定领域。领域只是用户、密码和角色的集合。

Tomcat包含以下几个常见的领域实现:UserDatabaseRealm、JDBCRealm、JNDIRealm与JAASRealm。另外,开发者可以创建额外的领域实现,以便作为其用户和密码的接口。领域在server.xml文件中以<Realm>元素指定:

<Realm className="some.realm.implementation.className"
       customAttribute1="some value"
       customAttribute2="other value"/>

UserDatabaseRealm

UserDatabaseRealm是从静态文件加载到内存中的,且直到Tomcat停止后才从内存中清除。事实上,Tomcat所用的用户、密码及角色只存在于内存中,换句话说,权限文件只会在启动时读入一次。在UserDatabaseRealm中分配权限的默认文件为$CATALINA_HOME/conf/tomcat-users.xml。

server.xml中resource的声明:

<Resource name="UserDatabase" auth="Container"
    type="org.apache.catalina.UserDatabase"
    description="User database that can be updated and saved"
    factory="org.apache.catalina.users.MemoryUserDatabaseFactory"
    pathname="conf/tomcat-users.xml" />

server.xml中UserDatabaseRealm的配置:

<Realm className="org.apache.catalina.realm.UserDatabaseRealm" resourceName="UserDatabase"/>

tomcat-users.xml中users和roles的配置:

<tomcat-users xmlns="http://tomcat.apache.org/xml"
              xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
              xsi:schemaLocation="http://tomcat.apache.org/xml tomcat-users.xsd"
              version="1.0">
	<role rolename="tomcat"/>
	<role rolename="role1"/>
	<user username="tomcat" password="tomcat" roles="tomcat"/>
	<user username="both" password="tomcat" roles="tomcat,role1"/>
	<user username="role1" password="tomcat" roles="role1"/>
</tomcat-users>

user和password的意义很清楚了,不过这里要解释一下有关roles的含义。角色(roles)是一组用户,针对这组用户,Web应用程序可以定义一组特定的功能组合。

UserDatabaseRealm并非真正用于实际,因为它唯一的更新方式是编写能经由JNDI访问Realm的自定义servlet。而该servlet需要能修改内存中的用户数据库,或磁盘上的tomcat-users.xml文件,最后,还需要重启Tomcat以便使这些修改生效。

JDBCRealm

顾名思义,JDBCRealm是一个可以使用关系型数据库的领域。它比UserDatabaseRealm更灵活,并且能动态的访问数据库。例如:往数据库中新增一个账号,JDBCRealm就可以马上读取它。

server.xml中JDBCRealm的配置:

<Realm className="org.apache.catalina.realm.JDBCRealm" debug="99"  
       driverName="com.mysql.jdbc.Driver"  
       connectionURL="jdbc:mysql://localhost:3306/DB_NAME"  
       connectionName="DB_Username" 
       connectionPassword="DB_Password"  
       userTable="TABLE_Name"
       userNameCol="COLUMN_Username"      
       userCredCol="COLUMN_Password"  
       userRoleTable="ROLE_TABLE_Name" 
       roleNameCol="COLUMN_Role" />  

DataSourceRealm

这是一个通过JNDI访问配置好的数据源,来访问关系型数据库的一种Realm实现。

假如有个MySQL数据库叫"authority",并且包含下面的表:

create table users (
    user_name varchar(15) not null primary key,
    user_pass varchar(15) not null
);

create table user_roles (
    user_name varchar(15) not null,
    role_name varchar(15) not null,
    primary key (user_name, role_name)
);

如果可以通过JNDI方式以"java:/comp/env/jdbc/authority"访问,此时:

server.xml中配置DataSourceRealm:

<Realm className="org.apache.catalina.realm.DataSourceRealm"
    dataSourceName="jdbc/authority"
    userTable="users" 
    userNameCol="user_name" 
    userCredCol="user_pass"
    userRoleTable="user_roles" 
    roleNameCol="role_name"/>

JNDIRealm

如果需要Tomcat从LDAP(Lightweight Directory Access Protocol,轻量目录访问协议)目录取得用户名称、角色及密码,则可以使用JNDIReam。它是一个非常有弹性的Realm实现,可以依据用户名、角色及密码的LDAP目录来验证用户的身份。同时还允许该数据用于许多不同的模式布局。它还可以递归的搜寻LDAP的层次目录,直到找到所需的信息为止。还可以在特定服务器的特定位置查找。

server.xml中JNDIRealm的配置:

<Realm className="org.apache.catalina.realm.JNDIRealm"
    connectionURL="ldap://localhost:389"
    userPattern="uid={0},ou=people,dc=mycompany,dc=com"
    roleBase="ou=groups,dc=mycompany,dc=com"
    roleName="cn"
    roleSearch="(uniqueMember={0})"/>

JAASRealm

JAASRealm是经由JAAS(Java Authentication and Authorization Service,Java验证与授权服务)验证用户的一种领域实现。JAAS实现了标准的“可插入式验证模块(Pluggable Authentication Module,PAM)”架构,此架构可让应用程序独立于验证实现之外。可以不修改应用程序本身而只需稍微修改应用程序的配置,在应用程序中插入全新或更新的验证实现。除此之外,JAAS还支持堆栈式的验证模块,从而在一个验证堆栈中,多个验证模块可以相互协同使用。

<Realm className="org.apache.catalina.realm.JAASRealm" 
    appName="MyFooRealm"
    userClassNames="org.foobar.realm.FooUser"
    roleClassNames="org.foobar.realm.FooRole"/>

CombinedRealm

这是一个特殊的Realm,顾名思义,它可以使用多个子的Realm(Realm可以嵌套)来对用户进行授权。也许你有多个“数据源”,也许你希望当有一个Realm停止工作的时候系统仍然不会崩溃,不管是什么需求需要同时使用多个Realm,这个CombinedRealm就能满足这个需求。授权将会按照子Realm的声明顺序依次进行,只要满足任何一个子Realm,都可以通过校验。

<Realm className="org.apache.catalina.realm.CombinedRealm" >
   <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
        resourceName="UserDatabase"/>
   <Realm className="org.apache.catalina.realm.DataSourceRealm"
        dataSourceName="jdbc/authority"
        userTable="users"
        userNameCol="user_name" 
        userCredCol="user_pass"
        userRoleTable="user_roles" 
        roleNameCol="role_name"/>
</Realm>

LockOutRealm

它继承与CombinedRealm,和CombinedRealm一样,与它一起工作的Realm需要嵌套在LockOutRealm中,而且也是只需要满足任何一个Realm即可。如果在一定的时间内多次尝试授权失败,它将会锁定这个用户。使用它时,不需要修改它下面的Realm配置,因为它是通过记录所有失败的登录(包括不存在的用户)来实现的。

下面是安装Tomcat后,server.xml中默认的配置:

<!-- Use the LockOutRealm to prevent attempts to guess user passwords via a brute-force attack -->
<Realm className="org.apache.catalina.realm.LockOutRealm">
    <!-- This Realm uses the UserDatabase configured in the global JNDI resources under the key 
        "UserDatabase".  Any edits that are performed against this UserDatabase are immediately
	    available for use by the Realm.  -->
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm" resourceName="UserDatabase"/>
</Realm>

 

参考链接:

http://tomcat.apache.org/tomcat-7.0-doc/realm-howto.html#UserDatabaseRealm

 

 

© 著作权归作者所有

共有 人打赏支持
摆渡者
粉丝 320
博文 171
码字总数 205876
作品 0
浦东
程序员
我如何使用JDBC和Tomcat和MySQL域吗?

身份验证可以由一个web应用程序控制或由容器(比如Tomcat 年代 W web应用程序中运行)。 Tomcat容器管理的安全是基于领域。 领域包含了用户的姓名,密码,和角色。 我配置了Tomcat(5.5.20版)是一...

五大三粗
2015/11/16
0
0
Shiro源码分析-初始化-Realm

在上一篇介绍SecurityManager的初始化过程中,也有realm的粗略介绍。 realm的概念在安全领域随处可见: 各种中间件的realm、spring security的realm、shiro的realm。。。如下: tomcat的rea...

Dead_knight
2014/04/08
0
0
Tomcat配置详解

一、Tomcat定义 Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。对于一...

Mr_陈
2014/05/12
0
0
Tomcat认证授权与简单的SSO

回顾 在前几天,我使用apache+tomcat搭建了一个集群,有一个简单的网站应用。Apache httpd与tomcat集群。 今天在此基础上,我要为其开发一个登录页面,并开启网站的认证和授权。 基本概念 在...

xpbug
2014/02/12
0
9
JDBCRealm Http Digest

JDBCRealm 授权信息存在关系数据库中, 通过JDBC驱动访问 数据库中必须至少有两张表,表示用户及角色 用户表必须至少有两个字段,用户名及密码 角色表必须至少有两个字段,用户名及角色 [htm...

kenzheng
2015/12/21
27
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

arts-week5

Algorithm 824. Goat Latin - LeetCode 152. Maximum Product Subarray - LeetCode 110. Balanced Binary Tree - LeetCode 67. Two Sum II - Input array is sorted - LeetCode 665. Non-dec......

yysue
25分钟前
0
0
iOS开发之AddressBook框架详解

iOS开发之AddressBook框架详解 一、写在前面 首先,AddressBook框架是一个已经过时的框架,iOS9之后官方提供了Contacts框架来进行用户通讯录相关操作。尽管如此,AddressBook框架依然是一个非...

珲少
55分钟前
1
0
两年摸爬滚打 Spring Boot,总结了这 16 条最佳实践

Spring Boot是最流行的用于开发微服务的Java框架。在本文中,我将与你分享自2016年以来我在专业开发中使用Spring Boot所采用的最佳实践。这些内容是基于我的个人经验和一些熟知的Spring Boot...

Java填坑之路
今天
4
0
《Spring5学习》04 - 面向切面编程

一、Spring面向切面编程的基本概念 面向切面编程(即AOP):把项目中需要再多处使用的功能比如日志、安全和事务等集中到一个类中处理,而不用在每个需要用到该功能的地方显式调用。 横切关注...

老韭菜
今天
2
0
day61-20180819-流利阅读笔记

跑道没了,它们还在跑:澳门赛狗业的遗孤 Daniel 2018-08-19 1.今日导读 相信你早就知道香港有个赛马会,可是你听说过香港的邻居澳门原本有个赛狗会吗?其实,对于澳门人来说,赛狗这项活动历...

aibinxiao
今天
15
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部