Обзор безопасности веб-приложений

Доступ к веб-приложению осуществляется через веб-браузер по сети, например Интернет или интранет. Как обсуждалось в Распределённые многослойные приложения, платформа Java EE использует модель распределённых многослойных приложений, а веб-приложения выполняются в веб-слое.

Веб-приложения содержат ресурсы, к которым могут обращаться многие пользователи. Эти ресурсы часто проходят по незащищённым открытым сетям, таким как Интернет. В такой среде для значительного числа веб-приложений требуется определённый тип безопасности.

Защита приложений и их клиентов в слое бизнес-логики и слое EIS обсуждается в главе 52 «Начало работы по защите EJB-приложений».

В платформе Java EE веб-компоненты предоставляют возможности динамического расширения веб-сервера. Веб-компоненты могут быть сервлетами Java или страницами JavaServer Faces.

Определённые аспекты безопасности веб-приложения можно настроить, когда приложение развёрнуто в веб-контейнере. Аннотации и/или дескрипторы развёртывания используются для передачи установщику информации о безопасности и других аспектах приложения. Указание этой информации в аннотациях или в дескрипторе развёртывания помогает установщику настроить соответствующую политику безопасности для веб-приложения. Любые значения, явно указанные в дескрипторе развёртывания, переопределяют любые значения, указанные в аннотациях.

Безопасность для веб-приложений Java EE может быть реализована следующими способами.

Декларативная безопасность может быть реализована с использованием аннотаций или дескриптора развёртывания приложения. Смотрите Обзор безопасности Java EE для получения дополнительной информации.

Декларативная безопасность для веб-приложений описана в Защита веб-приложений.
Программная безопасность встроена в приложение и может использоваться для принятия решений по вопросам безопасности, когда одной декларативной безопасности недостаточно для реализации модели безопасности приложения. Одной декларативной безопасности может быть недостаточно, если в середине приложения требуется условный вход в систему в конкретном рабочем процессе, а не во всех случаях. Смотрите Обзор безопасности Java EE для получения дополнительной информации.

Servlet 4.0 предоставляет методы authenticate, login и logout интерфейса HttpServletRequest. С добавлением методов authenticate, login и logout к спецификации сервлета дескриптор развёртывания приложения больше не требуется для веб-приложений, но всё ещё может использоваться для дальнейшего определения требований безопасности, выходящих за рамки базовых значений по умолчанию.

Программная безопасность обсуждается в Использование программной безопасности в веб-приложениях.
Защита сообщений работает с веб-сервисами и включает функции безопасности, такие как цифровые подписи и шифрование, в заголовок сообщения SOAP, работая на уровне приложений, обеспечивая сквозную безопасность. Безопасность сообщений не является компонентом Java EE и упоминается здесь только в ознакомительных целях.

Некоторые материалы этой главы основаны на материалах, представленных ранее в этом руководстве. В частности, в этой главе предполагается, что вы знакомы с информацией из следующих глав: