自身の身元を明らかにしシステムにアクセスする権利があることを証明するメカニズム。
JSP/Servlet アプリケーションでは BASIC 認証、FORM ベース認証、DIGEST 認証、CLIENT-CERT 認証が使われます。
許可(Authorization)
保護されたシステムへのアクセスをアクセスする人の権限によって管理するメカニズム。
データ完全性(Data Integrity)
データ完全性とはクライアントからサーバーまでの通信経路でデータが修正されていないことをあらわします。
______
セキュリティ制約条件
JSP / Servlet アプリケーションではリソースを保護するためにセキュリティ制約条件を設定します。
web.xml の設定
アプリケーション配備記述子に security-constraint タグでセキュリティ制約条件を設定します。
<security-constraint>
<web-resource-collection>
<web-resource-name>
<url-pattern>
<http-method>
<auth-constraint>
<user-data-constraint>
url-pattern で定義した URL がセキュリティ制約条件の対象となります。
http-method は GET や POST などを指定します。省略した場合はすべての方式に対応します。
セキュリティロール
アクセス権のあるユーザーを設定します。
<auth-constraint>
<role-name>
ユーザーデータの制約条件
データ転送に関する定義。
<user-data-constraint>
<transport-guarantee>
- NONE 転送中の保障必要なし
- INTEGRAL 転送中にデータが修正された場合それを識別できる方法で転送する。
- CONFIDENTIAL 転送中にデータを読み取ることができない方式
0 件のコメント:
コメントを投稿