Java EE 6 应用程序安全加强

JEE6在web容器的安全以及Java应用程序开发中的认证和受权方面引入了一些新的安全特性。这些特性在Web层引入了编程式和声明式的安全加强。 基于Servlet 3.0规范（JSR 315），Java EE 6 Web应用程序能够利用新的编程式和声明式的安全特性，以及此前在EJB 3.x就已引入的安全注解。Web应用程序还可使用基于JSR 196的插件式的认证/受权模块，这些模块能够做为Servlet容器的一部分。 Web模块安全 Web模块安全的实现包括编程式（使用Http Servlet Request中新加入的安全方法）和声明式（使用新的安全注解）。 编程式安全 可使用HTTP Servlet Request中新加入的方法以编程的方式访问容器上下文。Servlet 3.0规范在HttpServletRequest接口中定义了以下方法，这些方法能够在Web应用中认证用户的身份。 authenticate：这个方法使用ServletContext上配置的容器登陆机制认证用户请求。此方法能够修改并提交HttpServletResponse。若是应用配置了基本类型的身份认证就会弹出一个登陆对话框，收集用户名和密码并进行认证。 login：login方法在Web容器所使用的安全域（realm）中验证用户名和密码。应用程序可使用该方法获取用户名和密码信息，这样除了在应用程序的部署描述符中指定基于表单的认证方式外，还能够编程的方式进行控制。 logout：Web应用程序可使用该方法重置请求者的身份信息，若是在同一个请求中调用了getUserPrincipal、getRemoteUser和getAuthType等方法，那么它会将这些方法的返回值设为null。 HttpServletRequest接口的以下方法也能够访问组件调用者的安全信息： getRemoteUser：此方法能够获取客户端经过认证的用户名。此方法返回远程用户（已经由容器将其与请求关联在一块儿）的名字。若是没有用户经过身份认证，则返回null。 isUserInRole：此方法断定远程用户是否具备特定的安全角色。若是没有用户经过身份认证，则返回false。此方法接受一个用户角色名的字符串参数。应该在部署描述符中声明security-role-ref元素，其子元素role-name包含了传递给方法的角色名。 getUserPrincipal：getUserPrinicipal方法用来判断当前用户的principal名，并返回一个java.security.Principal对象。若是没有用户经过身份认证，则返回null。调用getUserPrincipal返回的Principal对象的getName方法会返回远程用户名。 声明式安全 新的注解也能够用来加强Web模块的安全性。咱们能够经过Java EE 6提供的注解和部署描述符进行认证、受权及传输层加密。Java EE 6的新注解列举以下： @ServletSecurity：@ServletSecurity可用于Servlet的实现类，指定Servlet容器对HTTP协议报文进行验证的安全约束。Servlet容器会对匹配的Servlet所对应的url-patterns施加这些约束。 @HttpMethodConstraint：@HttpMethodConstraint用在@ServletSecurity注解的内部，表述了加于特定HTTP协议报文之上的安全约束。这是一个数组，指定了HTTP方法的具体约束。 @HttpConstraint：该注解用在@ServletSecurity注解的内部，表述了针对全部HTTP方法（除了在ServletSecurity注解的内部已经指定了对应的HttpMethodConstraint元素）进行防御的安全约束。 @DeclareRoles：@DeclareRoles是一个类级别的注解，这是Common Annotations 1.0（JSR 250）规范的一部分，它与定义应用程序所使用角色的security-role元素的效果相仿。它应该先于其余引用具体角色的地方进行定义。 @RunAs：@RunAs注解也是Commons Annotations 1.0的一部分，用来规定特殊组件的run-as角色。你能够规定是应该使用调用者的安全标识，仍是应该使用一个特定的run-as标识来执行企业bean的特定方法。这个注解也是类级别的注解。 若是Web应用程序由Servlet组成，在@ServletSecurity注解的内部使用@HttpConstraint注解和@HttpMethodConstraint注解（在某些状况下）来规定应用程序的安全约束便可。对于其余的Web应用程序，请在部署描述符里面使用security-constraint元素来规定应用程序的安全约束。 声明安全角色 安全角色（security role）的名称可使用部署描述符的security-role元素来声明。安全角色引用（security role reference）定义了Web组件在调用isUserInRole（String role）方法时须要使用的角色名称与针对应用程序定义的安全角色名称之间的映射。例如，要把安全角色引用“cut”与角色名称为“bankCustomer”的安全角色映射起来，语法以下： <servlet> ... <security-role-ref> <role-name>cust</role-name> <role-link>bankCustomer</role-link> </security-role-ref> ... </servlet> 若是属于“bankCustomer”安全角色的用户调用了该servlet，方法isUserInRole("cust")将返回true。security-role-ref元素中的role-link元素必须与在处于同一份web.xml部署描述符中的security-role元素所定义的role-name一致。 <security-role> <role-name>bankCustomer</role-name> </security-role> 强制传输安全 传输安全确保了没有人能够篡改服务端发到客户端或者从客户端接收的数据。Java EE规范让开发人员可以经过web.xml文件中的“用户数据约束（user data constraint）”和“传输保证（transport guarantee）”元素，或者@HttpConstraint注解的“transportGuarantee”属性，来强制传输的安全性。用户数据约束（user data constraint）知足了受限的请求应该经由受防御的传输层连接进行传输的需求。必需的防御力度是由传输保证（transport guarantee）元素的值来定义。如下是在内部类TransportGuarantee中定义的值： CONFIDENTIAL：这个传输保证用于知足内容私密性的要求。它确保了数据是加密的，这样数据就没法被第三方破译。 NONE：这一级别的传输保证不使用SSL，容许数据照常传输。它表示容器在接收到任意的链接（包含未防御的链接）时，必须接受被约束的请求。 咱们能够经过使用“user-data-constraint"元素（这个元素应该放在包含了须要传输层保护的资源的security-constraint标签的内部），在web.xml中加上传输层的安全性。例如，咱们能够在security-constraint的内部加上以下代码片断，这样当用户访问受管资源时，将会被强制使用SSL。 <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> 欲了解更多关于Java EE 6的安全特性，不妨去看看Servlet 3.0规范文档中的“安全”章节（第13章）和Java EE 6教程（ 第24章 ）。 DZone最近也在Java EE加强的安全特性方面发表了一篇参考文档（reference card）（提示：用户须要先注册，才能从他们的网站下载文件）。