高级Meb技术 J阳a2 Enterprise Edtion
高级Web技术 Java 2 Enterprise Edtion
本次课程内容 安全性控制
本次课程内容 ◼ 安全性控制
Run-time Services- Security 安全控制级别 认证( Authentication) Who are you? 授权( Authorization) 判定某个个体( Principal)是否具有在特定资源上执行某 种操作的权限。 资源:网页、 Servlets、JSPs、EJBs等, Principals: 可以被验证身份
Run-time Services - Security ◼ 安全控制级别 ◼ 认证(Authentication) ◼ Who are you? ◼ 授权(Authorization) ◼ 判定某个个体(Principal)是否具有在特定资源上执行某 种操作的权限。 ◼ 资源:网页、Servlets、JSPs、EJBs等。 ◼ Principals: ◼ 可以被验证身份
典型的声明性安全性控制 在部署描述符中描述安全性控制: n在J2EE应用的部署描述符中定义应用所使用的安全性角色 在EJB模块中描述安全性规则(授权规则) 在Web模块中描述安全性规则(授权规则) 在Web模块中描述认证方式 部署时将定义的安全性角色映射到实际的安全域中 例子背景 银行应用 客户通过Web访问 servlet, servlet调用后台的EJB提供 的服务完成客户请求 在Web端进行认证、和授权控制 在EJB端进行授权控制
典型的声明性安全性控制 ◼ 在部署描述符中描述安全性控制: ◼ 在J2EE应用的部署描述符中定义应用所使用的安全性角色 ◼ 在EJB模块中描述安全性规则(授权规则) ◼ 在Web模块中描述安全性规则(授权规则) ◼ 在Web模块中描述认证方式 ◼ 部署时将定义的安全性角色映射到实际的安全域中 ◼ 例子背景 ◼ 银行应用 ◼ 客户通过Web访问servlet,servlet调用后台的EJB提供 的服务完成客户请求 ◼ 在Web端进行认证、和授权控制 ◼ 在EJB端进行授权控制
应用结构 New BankApp BankBeanJAR jar EJB AccountManager Session bean,完成银行账户管理员的任务,提供开户 存款、取款、查询余额等操作 EJB AccountBean Entity bean,对应数据库中的账户记录 EJB Log Bean Entity bean,对应日志库的日志记录,完成记录操作日志 的功能 BankWeb, war Servlet Bank Servlet 响应客户的HTTP请求,调用AccountManage的操作
应用结构 ◼ NewBankApp ◼ BankBeanJAR.jar ◼ EJB AccountManager ◼ Session bean,完成银行账户管理员的任务,提供开户、 存款、取款、查询余额等操作 ◼ EJB AccountBean ◼ Entity bean,对应数据库中的账户记录 ◼ EJB LogBean ◼ Entity bean,对应日志库的日志记录,完成记录操作日志 的功能 ◼ BankWeb.war ◼ Servlet BankServlet ◼ 响应客户的HTTP请求,调用AccountManage的操作