从零开始手写Tomcat的教程10节---安全性

x33g5p2x  于2022-03-17 转载在 其他  
字(2.0k)|赞(0)|评价(0)|浏览(495)

对tomcat中管道和阀门机制不懂的小伙伴,参考本篇文章

领域

目前可知结构,如图所示,下面继续分析

GenericPrincipal类

LoginConfig类

Authenticator接口

在Tomcat中的*Base类基本都是实现了接口中大部分方法的基础类,将会有不同实现需求的少量方法设置为抽象方法,让不同的子类实现,大家可以学习这种设计思想、

BasicAuthenticator的authenticate方法

  1. public boolean authenticate(HttpRequest request,
  2.                                 HttpResponse response,
  3.                                 LoginConfig config)
  4.         throws IOException {
  6.         // Have we already authenticated someone?
  7.         Principal principal =
  8.             ((HttpServletRequest) request.getRequest()).getUserPrincipal();
  9.         if (principal != null) {
  10.             if (debug >= 1)
  11.                 log("Already authenticated '" + principal.getName() + "'");
  12.             return (true);
  13.         }
  15.         // Validate any credentials already included with this request
  16.         HttpServletRequest hreq =
  17.             (HttpServletRequest) request.getRequest();
  18.         HttpServletResponse hres =
  19.             (HttpServletResponse) response.getResponse();
  20.         String authorization = request.getAuthorization();
  21.         String username = parseUsername(authorization);
  22.         String password = parsePassword(authorization);
  23.         principal = context.getRealm().authenticate(username, password);
  24.         if (principal != null) {
  25.             register(request, response, principal, Constants.BASIC_METHOD,
  26.                      username, password);
  27.             return (true);
  28.         }
  30.         // Send an "unauthorized" response and an appropriate challenge
  31.         String realmName = config.getRealmName();
  32.         if (realmName == null)
  33.             realmName = hreq.getServerName() + ":" + hreq.getServerPort();
  34.     //        if (debug >= 1)
  35.     //            log("Challenging for realm '" + realmName + "'");
  36.         hres.setHeader("WWW-Authenticate",
  37.                        "Basic realm=\"" + realmName + "\"");
  38.         hres.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
  39.         //      hres.flushBuffer();
  40.         return (false);
  42.     }

安装验证器阀

应用程序

SimpleContextConfig类

SimpleRealm类

SimpleUserDataBaseRealm类

Bootstarp1类

BootStrap2类

总结

  • Principal主要是为了对用户的一些属性进行封装,所以也被称为主体对象,这里主体指的是用户,主要封装了用户姓名,密码,用户角色,当前关联的领域对象realm
  • realm主要负责完成认证功能,然后tomcat中一个Context容器关联一个Realm对象,并且不同的realm子类实现,通过不同的方式来加载有效用户信息,在authenticate方法中,对传入用户名密码进行验证,然后生成一个 Principal对象返回
  • AuthenticatorBase类主要按照实现的认证方式不同,采取不同的认证流程,但是对用户信息校验,都是调用realm的认证方法完成的,这也算是一种解耦,因为用户信息的读取有多种不同的方式

从tomcat的设计中,我们还可以思考一下rcpc权限管理框架设计的一种思想:

由于本人其实对于tomcat的安全这块没有做深入了解,上面写的内容可能会有偏差,包括个人的理解方面,可能也会有问题,但是我这里更想介绍的是tomcat中权限与安全管理给我的一种启发和思考

版权说明 : 本文为转载文章, 版权归原作者所有 版权申明

原文链接 : https://cjdhy.blog.csdn.net/article/details/123547767

内容来源于网络,如有侵权,请联系作者删除!

Javatomcat阿里云

相关文章

    查看更多

    热门标签

    更多
    JavaquerypythonNode开发语言requestUtil数据库Table后端算法LoggerMessageElementParser

    最新文章

    更多
    • 蜀ICP备13028337号-1 大数据知识库 https://www.saoniuhuo.com © All rights reserved
    • 本站内容来源互联网,如果侵犯您的权益请联系我们删除, 联系方式:448109455@qq.com