第
15
卷第
3
期
Vol.15 No.3
Jun. 2007
0
引言
Web
应用的安全层次可分为:
(
1
) 使用
https
实现的运输层安全;
(
2
) 授权和认证层次的安全;
(
3
) 基于角色访问控制的安全;
(
4
) 容器管理的安全;
(
5
) 应用程序管理的安全。
在开发一个系统时, 关键的任务是识别哪些安全
需求可以通过标准的安全机制得到满足, 哪些安全需
求需要有定制的解决方案。本文主要讨论
Struts
应用
管理的安全。
Struts
框架提供了一种基于
Action
的安全设置,
该方法通过
Strust- config.xml
中
Action
映射的
roles
参
数来设置有权访问某个
Action
的用户角色。在此基础
上,
Struts
通过调用
RequestProcessor
类的
processRoles
( ) 方法( 可以覆盖该方法以实现自己的处理逻辑, 进行
定制的角色处理) 来判断登录的用户是否属于有权调
用该
Action
的用户角色。
Struts
框架本身以及
Struts
运行所依赖的
Web
容
器
( 如
Tomcat
) 都只提供了一种粗糙的安全访问控制,
这不能满足
Web
应用个性化的定制安全需求。
文献[
1
] 讨论了通过安全附加码实现
Struts
应用
的安全设计
, 这是在表示层实现的安全。文献[
2
] 从数
据传输的角度考虑了安全性, 基于
Struts
实现了浏览
器到服务器、服务器到浏览器之间的信息传送加解密
模块。实际上, 采用
https
协议即可实现信息传送的安
全保护
, 后者的方法或
https
对性能都有着巨大影响,
为了减少这种影响, 折中的办法是在登录和敏感数据
提交时使用
https
, 数据输入后就转回到
http
协议。容
器管理的安全不支持这种协议转换, 因为存在严重的
安全漏洞, 不过, 与
Struts
集成的某些机制可以支持这
种协议转换。
在
Java servlets
、
JSP
, 、
custom tags
等
J2EE
标准技
术基础之上构建的
Struts
框架, 其扩展性非常好,
Struts
自身的
Validator
和
Tiles
框架就是利用了
Struts
所提
供的扩展机制生成的
[
3
,
4
]
。本文从扩展
Web
容器所提供
的
servlet
类以及
Struts
框架所提供的诸如
tags
类、
Ac-
tionMapping
类的相关部分入手, 提出了一种更为精细
的页面级和属性级的安全访问控制模型。
1
使用
Servlet Filters
的安全扩展
Servlet2.3
增 加 了
javax.servlet.Filter
接 口 。 一 个
filter
就是一个对
Web
资源请求或响应过程进行过滤
第
15
卷第
3
期
2 0 0 7
年
6
月
电 脑 与 信 息 技 术
Computer and Information Technology
文章编号:
1005- 1228
(
2007
)
03- 0061- 03
Struts 应用的安全问题研究
廖治凯, 周新梅
(郴州职业技术学院, 湖南 郴州
423000
)
摘 要: 文章对
Struts
应用的安全问题进行了分析和研究, 通过实现
Filter
接口和扩展
TextTag
类建立了一种不影响系统
性能、适应性广且能同时对
Web
资源进行页面级和属性级安全控制的模型。在具体实现中, 运用了
web.xml
配置文件和
自定义的
SecurityHelper
接口。
关键词:
Struts
; 安全性; 页面级; 属性级; 扩展性
中图分类号
:
TP311
文献标识码:
A
Study on Security Issues of Struts- based Applications
LIAO Zhi- Kai
,
ZHOU Xin- mei
(
Chenzhou Vocational Technical College
,
Chenzhou
,
Hunan 423000
,
China
)
Abstract
:
The paper analyses and study the security issues of Struts- based applications
,
builts a kind of model through
implementing Filter interface and expanding TextTag class.This model has no effect on application performance
,
has a good
expansibility and can carry out page- level & field- level security control synchronously.The web.xml file and customed
interface SecurityHelper are used in this paper.
Key words
:
Struts
;
security
;
page- level
;
field- level
;
expansibility
收稿日期:
2007- 04- 09
作者简介: 廖治凯(
1968-
) , 男, 湖南郴洲人, 讲师, 研究方向: 信息管理系统的开发与应用; 周新梅(
1973-
) , 女, 湖南郴洲人, 讲师。
评论0
最新资源