Basic Security với Servlet và Tomcat Đào Anh Tuấn – datuan@fit. hcmuns.edu.vn Giới thiệu • Một số kiểu chứng thực người dùng đơn giản: ▫ Basic ▫ Digest ▫ Form ▫ Client Certificate • Cài đặt SSL trên Tomcat • Virtual Host Chứng thực người dùng • Servlet hỗ trợ khá nhiều giao thức để chứng thực người dùng: ▫ Basic ▫ Digest ▫ Form Authen ▫ Client Certificate • Database về username / password sẽ do Tomcat quản lý, thông qua các Realm Cấu hình tomcat • Mặc định các user này lấy trong file tomcat-users.xml; ta có thể cấu hình để lưu trong các CSDL hoặc trong các file khác (cấu hình trong file conf/server.xml) <Resource name="UserDatabase" auth="Container" type="org.apache.catalina.UserDatabase" description="User database that can be updated and saved" factory="org.apache.catalina.users. MemoryUserDatabaseFactory" pathname="conf/tomcat-users.xml" /> </GlobalNamingResources> <Realm className="org.apache.catalina.realm. UserDatabaseRealm" resourceName="UserDatabase"/> Cấu hình Realm • Tomcat hỗ trợ các loại Realm sau: ▫ JDBCRealm - Accesses authentication information stored in a relational database, accessed via a JDBC driver. ▫ DataSourceRealm - Accesses authentication information stored in a relational database, accessed via a named JNDI JDBC DataSource. ▫ JNDIRealm - Accesses authentication information stored in an LDAP based directory server, accessed via a JNDI provider. ▫ MemoryRealm - Accesses authentication information stored in an in-memory object collection, which is initialized from an XML document (conf/tomcat-users.xml). ▫ JAASRealm - Accesses authentication information through the Java Authentication & Authorization Service (JAAS) framework. • Xem thêm trong tài liệu: http://tomcat.apache.org/tomcat-5.5- doc/realm-howto.html Cấu hình thử file tomcat-users • Đây là nơi chứa các users và roles mặc định của tomcat <?xml version='1.0' encoding='utf-8'?> <tomcat-users> <role rolename="system"/> <role rolename="manager"/> <role rolename="admin"/> <user username="system" password="system" roles="system"/> <user username="admin" password="admin" roles="manager,admin"/> </tomcat-users> Cấu hình Authentication cho ứng dụng web • Cấu hình thông qua trang web.xml • Trước hết tạo trang web index.jsp chứa bất kỳ nội dung nào. • Sau đó, ta sẽ yêu cầu chỉ các user thuộc role system của hệ thống mới được truy xuất file này. Định nghĩa roles • Định nghĩa lại role(s) system, đây là role đã được định nghĩa trong file tomcat-users.xml • Lưu ý: hệ thống servlet là hệ thống có đặt tính case-sensitive (System != system) Định nghĩa các resource sẽ được bảo vệ • Mặc định ở đây ta bảo vệ các file *.jsp, method GET và POST Qui định phương thức chứng thực • Để đơn giản ta chọn Basic (password gửi đi dạng clear text). • Theo đúng lý thuyết, Realm phải chọn trùng tên với Realm trong Tomcat, nhưng ở đây đơn giản ta có thể dùng để nhập một thông báo. [...]... xmlValidation="false" xmlNamespaceAware="false"> • Ta nén cả 2 ứng dụng web thành các file ROOT war (case-sensitive, mặc định TomCat giải nén các file ROOT.war thành default application của mỗi host) • File ROOT.war của ứng dụng banhang vào thư mục tomcat/ web1, ROOT.war của ứng dụng blog vào thư mục tomcat/ web2 • Lưu ý: file context.xml của mỗi ứng dụng web, sửa cấu hình path có giá trị path=“” (ứng dụng gốc) Test... dụ: Ta có 2 thư mục chứa các ứng dụng web khác nhau: ▫ Tomcat_ Home/web1/index.jsp -> Trang web bán hàng, có domain name là www.banhang.com ▫ Tomcat_ Home/web2/index.jsp -> Trang web blog, có domain name là www.blog.com • Cả 2 domain name này đều chỉ vào địa chỉ IP của máy chủ chứa web server Virtual host (tt) • Ta sẽ cấu hình các virtual host trong TomCat_ Dir/conf/server.xml . Security với Servlet và Tomcat Đào Anh Tuấn – datuan@fit. hcmuns.edu.vn Giới thiệu • Một số kiểu chứng thực người dùng đơn giản: ▫ Basic ▫ Digest ▫ Form ▫ Client Certificate • Cài đặt SSL trên Tomcat •. trong tài liệu: http:/ /tomcat. apache.org /tomcat- 5.5- doc/realm-howto.html Cấu hình thử file tomcat- users • Đây là nơi chứa các users và roles mặc định của tomcat <?xml version='1.0'. nghĩa trong file tomcat- users.xml • Lưu ý: hệ thống servlet là hệ thống có đặt tính case-sensitive (System != system) Định nghĩa các resource sẽ được bảo vệ • Mặc định ở đây ta bảo vệ các file