Tomcat容器管理安全的驗證方式匯總

2024-09-01 13:48:55

字體：大中小

來源：轉載

供稿：網友

當訪問服務器中受保護的資源時，容器管理的驗證方法可以控制確認用戶身份的方式。Tomcat支持四種容器管理的安全防護，它們是：

1、BASIC(基本驗證)：通過HTTP驗證，需要提供base64編碼文本的用戶口令

2、DIGEST(摘要驗證)：通過HTTP驗證，需要提供摘要編碼字符串的用戶口令

3、FORM(表單驗證)：在網頁的表單上要求提供密碼

4、CLIENT-CERT(客戶端證書驗證)：以客戶端證書來確認用戶的身份

基本驗證

當web.xml文件中的auth-method元素設置為BASIC時，表明應用使用的是基本驗證，每次瀏覽器請求受保護的Web應用資源時，Tomcat都會使用HTTP基本驗證向瀏覽器索取用戶名和密碼（以頁面彈窗的方式）。使用這種驗證方法，所有的密碼都會以base64編碼的文本在網絡上傳輸。

先看下項目結構（我用Maven管理的依賴）：

tomcat容器

其中，protect/protect.jsp是被保護的，需要授權訪問。

說明：本文提到的tomcat-users.xml，server.xml等文件，如果是在Eclipse中啟動tomcat，則這些文件在Eclipse中的Servers工程下對應的tomcat下，如圖：

tomcat容器

而本文提到的web.xml是指項目自己的web.xml，而非Servers項目下Tomcat中的web.xml。
web.xml

<security-constraint>
<web-resource-collection>
<http-method>GET</http-method>
<web-resource-name>tomcat protect page</web-resource-name>

<url-pattern>/protect/*</url-pattern>
</web-resource-collection>
<auth-constraint>

<role-name>member</role-name>
</auth-constraint>
</security-constraint>
<login-config>

<auth-method>BASIC</auth-method>

<realm-name>MyConstraints</realm-name>
</login-config>

tomcat-user.xml（注意如果是在Eclipse中啟動tomcat，這個tomcat-user.xml在Eclipse中的Servers工程下）

重啟tomcat后，訪問protect目錄下的資源，情況是這樣的：

tomcat容器

輸入賬戶alvis，密碼pwd后，訪問成功（當然，非protect目錄下的資源是可以直接訪問的）：

tomcat容器

摘要驗證

當web.xml文件中的auth-method元素設置為DIGEST時，表明應用使用的是摘要驗證。還是上面的例子，看配置：

web.xml和基本驗證一樣，只是auth-method修改為DIGEST，此處不贅述。

server.xml中的UserDatabaseRealm（如果tomcat使用的是其他Realm，也一樣的）里增加digest屬性：

tomcat容器

接下來，要生成tomcat可識別的MD5密碼。方式有兩種，正如官網描述：

Tomcat,容器管理,安全驗證

方式一：用代碼來生成：

import org.apache.catalina.realm.RealmBase;
public class T {
public static void main(String[] args) {
//參數1：要加密的字符串；參數2：加密算法；參數3：字符串的編碼
String base = RealmBase.Digest("alvis:MyConstraints:pwd", "MD5", null);
System.out.println(base);
}
}

由于RealmBase類在catalina.jar包中，如果項目中沒有這個類，可在項目上右鍵-->Java Build Path--> Libraries-->Add Library-->選擇Server Runtime-->選擇Apache Tomcat V8.0(其實7.0也行)，如圖：

tomcat容器

方式二：用腳本來生成：

在tomcat/bin目錄下有個digest.sh(Linux系統)或digest.bat(Windows系統)腳本，運行這個腳本，傳入摘要算法和參數即可，這里我在Windows系統上運行，如圖：

這里的-a指定摘要算法為MD5，要特別注意這里的參數是：{用戶名}:{Realm名}:{密碼明文}。用戶名就是tomcat-users.xml中配置的<user>名字(這里為alvis)，Realm名是在web.xml中配置的<realm-name>(這里為MyConstraints)，密碼明文即該用戶用于登錄的密碼(我這里設為pwd)。

只有這樣的參數加密后的密碼，在tomcat-users.xml中配置才有效，否則是登錄不了的。由于我是參考《Tomcat權威指南(第二版)》的步驟做的，之前試了很久都不知道為什么登錄不了，結果在官網找到答案，是這么描述的：

Tomcat,容器管理,安全驗證

大意是說，如果使用DIGEST方式驗證，用于生成摘要的明文必須被替換為這種格式。實踐出真知，所以還是不能完全看書啊，動手實踐才是實在的。
然后就是在tomcat-users.xml中配置生成的密碼（通過下方的截圖，可以比較password跟上方digest.bat腳本生成的密碼是否一致）：

之后重啟tomcat，效果自然是跟使用基本驗證的效果一樣了。

表單驗證

當web.xml文件中的auth-method元素設置為FORM時，表明應用使用的是表單驗證。當用戶請求Web應用程序受保護的資源時，表單驗證會跳轉至配置的登錄頁面。當登錄失敗時，還需要一個驗證失敗的頁面，還是上面的例子，看配置：

web.xml

<security-constraint>
<web-resource-collection>
<http-method>GET</http-method>
<web-resource-name>tomcat member part</web-resource-name>
<url-pattern>/protect/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>member</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>FORM</auth-method>
<realm-name>MyConstraints</realm-name>
<form-login-config>
<form-login-page>/form/login.html</form-login-page>
<form-error-page>/form/error.html</form-error-page>
</form-login-config>
</login-config>

這里的form/login.html是用于登錄的頁面，而form/error.html則是驗證失敗后跳轉到的頁面（這兩個頁面在上方的工程結構圖中已經有了）。

<html>
<body>
<h2>Login Page.</h2>
<form method="post" action="j_security_check" name="loginForm">
<input type="text" name="j_username" /><br>
<input type="password" name="j_password" /><br>
<input type="submit" value="Login" />
</form>
</body>
</html>

注意：這里form的action="j_security_check"，賬號的name="j_username"和密碼的name="j_password"都是不可變的，否則配置的驗證規則不起作用。

server.xml中，要去掉Realm中添加的“digest=MD5”這個屬性：