?

一、三種壞人與servlet安全

?

?

認證可以防止“假冒者”攻擊，授權可以防止“非法升級者”攻擊，機密性和數據完整性可以防止“竊聽者”攻擊。

二、認證與授權

Web容器進行認證與授權的過程：

?

客戶端：瀏覽器向容器請求一個web資源發出請求；

?

服務端：容器接受到請求時，容器在“安全表”中查找URL（安全表存儲在容器中，用于保存安全信息），如果在安全表中查找到URL，就會看這個URL請求的資源是否是受限的，如果是，則返回401（Unauthorized——未授權），包含一個www.authenticate首部和realm（領域）信息；

?

客戶端和用戶：瀏覽器得到401的響應，根據realm信息，要求用戶提供用戶名和口令；瀏覽器再次發送剛才的那個請求，但是這個請求還包括一個安全HTTP首部以及用戶名和口令；

?

服務端：容器接收到請求，容器接收到有用戶名和口令的請求時，在“安全表”中再次查找URL；如果在安全表中找到URL且發現這是一個受限資源，則檢查用戶名和口令是否匹配。

• 如果不匹配則再次返回401；
• 如果匹配，說明認證通過，則接著檢查這個用戶的權限，容器會查看這個用戶指派的“角色”是否允許訪問這個資源（即授權），如果授權成功，則把這個資源返回給客戶端；

?

三、實施web安全

?

?

四、Spring-Security

Spring Security是專注于為Java應用提供認證（authentication）與授權（authorization）機制的開發框架，和其他Spring項目一樣，Spring Security的能力是可以靈活得應對各種定制的需求。

?

Spring Security的特點：

• 對認證和授權的全面和可拓展性支持；
• 可以防御常見的網絡攻擊，例如：session fixation、clickjacking、cross site request forgery等等
• 支持與Servlet API集成
• 支持與Spring MVC集成，但不限于此

?

這里我從Spring Guides找到了一個在web應用中使用Spring Security保護資源的例子——securing-web demo，我自己試驗做了一遍，建議讀者也跟著自己實現一遍，加深理解。

?

五、HTTPS與SSL

HTTPS和SSL協議用于實現機密性和數據完整性。

HTTPS
HTTP協議是基于TCP構建的應用層協議；HTTPS協議是基于SSL/TLS協議之上的應用層協議，而SSL/TLS是基于TCP構建的協議。在云棲社區找到一篇HTTPS詳解，講得不錯，可以仔細看看。

?

SSL/TLS
SSL是一個介于HTTP協議與TCP之間的一個可選層，在網絡協議中的層次入下圖所示。TLS是SSL 3.0的后續版本，可以理解為SSL 3.1，它是寫入了 RFC 的。

轉載于:https://www.cnblogs.com/liulala2017/p/11096495.html

總結

以上是生活随笔為你收集整理的阅读之web应用安全的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。