在 NetBeans IDE 6.5 中保护 Web 应用程序的安全

本教程中使用的表示法

<NETBEANS_HOME> - NetBeans IDE 安装目录
<APPSERVER_HOME> - Sun Java System Application Server 或 GlassFish 安装目录
<TOMCAT_HOME> - Tomcat 安装目录
<PROJECT_HOME> - 包含项目的目录

创建安全目录

1. 选择“文件”>“新建项目”(Ctrl-Shift-N)，从 Web 类别中选择 Java Web 应用程序，然后单击“下一步”。
2. 将项目命名为 WebApplicationSecurity。接受缺省设置。
3. （可选）选中“使用专用文件夹存储库”复选框，并指定库文件夹的位置。有关此选项的详细信息，请参见共享项目库。
4. 单击“下一步”。
5. 选择要在其中部署应用程序的服务器。这里仅列出了已在 IDE 中注册的服务器。单击“下一步”。
6. 不需要添加框架，因此请单击“完成”。
7. 在 IDE 的“项目”窗口中，右键单击“Web 页”，然后选择“新建”>“其他”。
8. 在“新建文件”向导中，选择“其他”作为“类别”，选择“文件夹”作为“文件类型”。单击“下一步”。

9. 在“新建文件夹”向导中，将文件夹命名为 "secureAdmin"，然后单击“完成”。

   secureAdmin 文件夹将显示在“项目”窗口的“Web 页”文件夹中。
10. 重复步骤 5、6 和 7，创建另一个名为 "secureUser" 的文件夹。
11. 在 secureUser 文件夹中创建一个新的 html 文件，方法是在“项目”窗口中右键单击 secureUser 文件夹，然后选择“新建”> "HTML"。
12. 将新文件命名为 "pageU"，然后单击“完成”。

    单击“完成”后，将在源代码编辑器中打开 pageU.html 文件。

13. 在源代码编辑器中，将 pageU.html 中的现有代码替换为以下代码：

    <html>
       <head>
          <title>User secure area</title>
       </head>
       <body>
          <h1>User Secure Area</h1>
       </body>
                </html>

14. 右键单击 secureAdmin 文件夹并创建一个新的名为 pageA 的 html 文件。
15. 在源代码编辑器中，将 pageA.html 中的现有代码替换为以下代码：

    <html>
       <head>
          <title>Admin secure area</title>
       </head>
       <body>
          <h1>Admin secure area</h1>
       </body>
                </html>

创建 JSP 索引页

现在可以创建包含指向安全区域的链接的 JSP 索引页。当用户单击链接时，系统将提示他们输入用户名和口令。如果使用的是基本登录，将使用缺省浏览器登录窗口进行提示。如果使用的是登录表单页，则用户将在一个表单中输入用户名和口令。

1. 在源代码编辑器中打开 index.jsp，并将以下链接添加到 pageA.html 和 pageU.html：

   <p>Request a secure Admin page <a href="secureAdmin/pageA.html">here!</a></p>
   <p>Request a secure User page <a href="secureUser/pageU.html" >here!</a></p>

2. 保存所做的更改。

创建登录表单（可选）

如果希望使用登录表单而不使用基本登录，则可以创建一个包含表单的 jsp 页。然后在配置登录方法时指定登录页和错误页。

1. 在“项目”窗口中，右键单击“Web 页”文件夹并选择“新建”> "JSP"。
2. 将文件命名为 login，保留其他字段的缺省值，然后单击“完成”。
3. 在源代码编辑器中，将以下代码添加到 login.jsp 的顶部。
   

   <%@taglib uri="http://java.sun.com/jstl/core" prefix="c" %>          

4. 在源代码编辑器中，将以下代码插入到 login.jsp 的 <body> 标记之间。
   

   <form action="j_security_check" method="POST">
                 Username:<input type="text" name="j_username"><br>
                 Password:<input type="password" name="j_password">
                 <input type="submit" value="Login">
               </form>

5. 在“Web 页”文件夹中创建一个新的名为 loginError.html 的 html 文件。这是一个简单的错误页。
6. 在源代码编辑器中，将 loginError.html 中的现有代码替换为以下代码：

   <html>
       <head>
           <title>Login Test: Error logging in</title>
       </head>
       <body>
           <h1>Error Logging In</h1>
           <br/>
       </body>
               </html>

在 Sun Java System Application Server (GlassFish) 上定义角色

Sun Java System Application Server (GlassFish) 有一个名为 admin 的预定义用户，用于访问管理控制台。对于本方案，首先需要使用 Sun Java System Application Server 的管理控制台创建两个分别名为 user 和 admin 的新用户。名为 user 的用户对应用程序具有有限的访问权，名为 admin 的用户具有管理权限。然后需要通过修改 sun-web.xml 将这些用户映射到不同角色。sun-web.xml 位于项目的“配置文件”目录中。

1. 通过在 IDE 的“服务”窗口中右键单击“服务器”> "GlassFish V2" 打开管理控制台。Sun Java System Application Server 的登录页面将在浏览器窗口中打开。您需要使用管理员用户名和口令进行登录才能访问管理控制台。

   注意：必须运行应用服务器才能访问管理控制台。要启动服务器，请右键单击 "GlassFish V2" 节点并选择“启动”。

2. 在管理控制台中，导航至“配置”>“安全性”>“领域”。
3. 选择 file 领域，并在“编辑领域”屏幕中单击“管理用户”。
4. 单击“新建”添加新用户。键入 user 作为用户 ID，键入 user 作为口令。单击“确定”。
5. 按照前面的步骤在 file 领域中创建名为 admin 的用户。

在 Tomcat Web 服务器上定义角色

与 IDE 捆绑在一起的 Tomcat 服务器已经有一些预定义的用户和角色。

Tomcat 服务器的基本用户和角色是在 tomcat-users.xml 中定义的。可以在 <USER_DIR>\apache-tomcat-5.5.17_base\conf 目录中找到 tomcat-users.xml。tomcat-users.xml 文件应如下所示：

<tomcat-users>
    <role rolename="tomcat"/>
    <role rolename="role1"/>
    <role rolename="manager"/>
    <role rolename="admin"/>
    <user username="ide" password="(generated password)" roles="manager,admin"/>
    <user username="tomcat" password="tomcat" roles="tomcat"/>
    <user username="role1" password="tomcat" roles="role1"/>
    <user username="both" password="tomcat" roles="tomcat,role1"/>
    </tomcat-users>

注意：用户 ide 的口令是在安装 Tomcat 时生成的。可以更改用户 ide 的口令，或者将该口令复制到 tomcat-users.xml 中。

基本登录

在使用基本登录配置时，登录窗口由浏览器提供。访问安全内容需要有效的用户名和口令。

以下步骤介绍了如何为 Sun Java System Application Server 配置基本登录。

1. 在“项目”窗口中，双击位于“配置文件”目录中的 web.xml，该文件在可视编辑器中打开。
2. 单击工具栏中的“安全”，在“安全”视图中打开该文件。
3. 展开“登录配置”节点并将“登录配置”设置为“基本”。

   注意：如果希望使用表单，请选择“表单”而不是“基本”，并指定登录页和登录错误页。

4. 输入 file 作为“域名称”。这与您在 Sun Java System Application Server 上创建用户的域名称相对应。

   
5. 展开“安全角色”节点，并单击“添加”以添加角色名称。
6. 添加以下安全角色：
   • Admin。添加到此角色的用户将有权访问服务器的 secureAdmin 目录。
   • User。添加到此角色的用户将有权访问服务器的 secureUser 目录。
7. 通过执行以下操作，创建和配置名为 AdminConstraint 的安全约束：
   1. 单击“添加安全约束”，创建新的安全约束。
   2. 输入 AdminConstraint 作为新安全约束的“显示名称”。
   3. 单击“添加”，添加“Web 资源集合”。

   4. 在“增加 Web 资源”对话框中，将“资源名称”设置为 Admin，将“URL 模式”设置为 /secureAdmin/*，然后单击“确定”。

      注意：如果使用星号 (*)，则会授予用户访问该文件夹中所有文件的权限。

      
   5. 选中“启用验证约束”，然后单击“编辑”以编辑“角色名称”字段。
   6. 在“编辑角色名称”对话框的左窗格中选择 "Admin" 和 "User"，单击“添加”，然后单击“确定”。

      在完成上述步骤之后，结果应如下图所示：

      
8. 通过执行以下操作，创建和配置名为 UserConstraint 的安全约束：
   1. 单击“添加安全约束”，创建新的安全约束。
   2. 输入 UserConstraint 作为新安全约束的“显示名称”。
   3. 单击“添加”，添加“Web 资源集合”。
   4. 在“增加 Web 资源”对话框中，将“资源名称”设置为 User，将 URL 模式设置为 /secureUser/*，然后单击“确定”。
   5. 选中“启用验证约束”，然后单击“编辑”以编辑“角色名称”字段。
   注意：还可以在 web.xml 中设置会话的超时时间。要设置超时，请单击可视编辑器的“常规”标签，然后指定希望会话持续的时间。缺省值为 30 分钟。

   表单登录

   使用表单进行登录可以定制登录页和错误页的内容。使用表单配置验证的步骤与基本登录配置相同，但需要指定您创建的登录页和错误页。

   以下步骤介绍了如何为 Sun Java System Application Server 配置登录表单。

   1. 在“项目”窗口中，双击位于 Web 页/WEB-INF 目录中的 web.xml，在可视编辑器中打开该文件。
   2. 单击工具栏中的“安全”，在“安全”视图中打开该文件，并展开“登录配置”节点。
   3. 将“登录配置”设置为“表单”。
   4. 通过单击“浏览”并找到 login.jsp 设置“表单登录页”。

   5. 通过单击“浏览”并找到 loginError.html 设置“表单错误页”。

      
   6. 单击“添加角色”并添加以下“安全角色”。
      • 对于管理员添加 Admin
      • 对于用户添加 User
   7. 单击“添加安全约束”，将其命名为 AdminConstraint，并执行以下操作：
      1. 添加“Web 资源集合”，并将名称设置为 Admin，将路径设置为 /secureAdmin/*
      2. 选中“启用验证约束”，然后单击“编辑”。
      3. 在“编辑角色名称”对话框的左窗格中选择 "Admin"，然后单击“添加”。
   8. 单击“添加安全约束”，将其命名为 UserConstraint，并执行以下操作：
      1. 添加“Web 资源集合”，并将名称设置为 User，将路径设置为 /secureUser/*
      2. 选中“启用验证约束”，然后单击“编辑”。
      3. 在“编辑角色名称”对话框的左窗格中选择 "Admin" 和 "Tomcat"，然后单击“添加”。

   注意：还可以在 web.xml 中设置会话的超时时间。要设置超时，请单击可视编辑器的“常规”标签，然后指定希望会话持续的时间。缺省值为 30 分钟。