web应用安全

一、三种坏人与servlet安全

网络攻击者	对应的servlet安全规范
假冒者	认证
非法升级者	授权
窃听者	机密性
	数据完整性

认证可以防止“假冒者”攻击，授权可以防止“非法升级者”攻击，机密性和数据完整性可以防止“窃听者”攻击。

二、认证与授权

Web容器进行认证与授权的过程：

1. 客户端：浏览器向容器请求一个web资源发出请求；

2. 服务端：容器接受到请求时，容器在“安全表”中查找URL（安全表存储在容器中，用于保存安全信息），如果在安全表中查找到URL，就会看这个URL请求的资源是否是受限的，如果是，则返回401（Unauthorized——未授权），包含一个www.authenticate首部和realm（领域）信息；

3. 客户端和用户：浏览器得到401的响应，根据realm信息，要求用户提供用户名和口令；浏览器再次发送刚才的那个请求，但是这个请求还包括一个安全HTTP首部以及用户名和口令；

4. 服务端：容器接收到请求，容器接收到有用户名和口令的请求时，在“安全表”中再次查找URL；如果在安全表中找到URL且发现这是一个受限资源，则检查用户名和口令是否匹配。

• 如果不匹配则再次返回401；

• 如果匹配，说明认证通过，则接着检查这个用户的权限，容器会查看这个用户指派的“角色”是否允许访问这个资源（即授权），如果授权成功，则把这个资源返回给客户端；

三、实施web安全

安全概念	谁负责	复杂程度	耗时程度
认证	管理员	中	高
授权	部署人员	高	高
机密性	部署人员	低	低
数据完整性	部署人员	低	低

四、Spring-Security

 Spring Security是专注于为Java应用提供认证（authentication）与授权（authorization）机制的开发框架，和其他Spring项目一样，Spring Security的能力是可以灵活得应对各种定制的需求。

Spring Security的特点：

• 对认证和授权的全面和可拓展性支持；

• 可以防御常见的网络攻击，例如：session fixation、clickjacking、cross site request forgery等等

• 支持与Servlet API集成

• 支持与Spring MVC集成，但不限于此

这里我从Spring Guides找到了一个在web应用中使用Spring Security保护资源的例子——securing-web demo，我自己试验做了一遍，建议读者也跟着自己实现一遍，加深理解。

五、HTTPS与SSL

HTTPS和SSL协议用于实现机密性和数据完整性。

1. HTTPS
   HTTP协议是基于TCP构建的应用层协议；HTTPS协议是基于SSL/TLS协议之上的应用层协议，而SSL/TLS是基于TCP构建的协议。在云栖社区找到一篇HTTPS详解，讲得不错，可以仔细看看。

2. SSL/TLS
   SSL是一个介于HTTP协议与TCP之间的一个可选层，在网络协议中的层次入下图所示。TLS是SSL 3.0的后续版本，可以理解为SSL 3.1，它是写入了 RFC 的。

SSL/TLS网络协议

六、微服务架构下的认证与授权

可以查看我之前写的一篇笔记：微服务架构下的身份认证与鉴权

原文链接：https://mp.weixin.qq.com/s/VQNGuVgCRfvsOtzyP0wUIg