程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> JAVA編程 >> J2SE >> JMX+J2SE5.0實現Web應用的安全管理

JMX+J2SE5.0實現Web應用的安全管理

編輯:J2SE

一、 引言

JMX(Java管理擴展)提供了一組工具用來管理本地和遠程應用程序、系統對象、設備等。本文將解釋如何使用JMX(JSR 160)來遠程控制Web應用程序,並將解釋應用程序中可用於JMX客戶的代碼,同時將展示使用如MC4J和jManage等的不同客戶如何連接到支持JMX的應用程序。此外,我們還將詳細地討論使用RMI協議和JNDI來保護通訊層。

首先我們要分析一個簡單的web應用程序,它監控已經登陸的用戶數目並通過一個安全的JMX服務來顯示該項統計。我們還將運行這個應用程序的多個實例並且從所有的運行實例中跟蹤這個統計數字。當然,你可以下載這個示例web應用程序。它需要你安裝J2SE 5.0 SDK並且你的Java_HOME環境變量指向基安裝目錄。J2SE 5.0實現了1.2版本的JMX API和JMX 1.0版本的Remote API。同時還需要一個支持Servlet的容器;我使用的是Apache Tomcat 5.5.12。另外,我還使用apache Ant來構建這一示例應用程序。

二、 建立示例應用程序

首先,你要下載示例應用程序並且使用ant war(更多的細節見build.XML中的注釋)來創建一個WAR文件。把jmxapp.war復制到Tomcat的webaPPS目錄。假定Tomcat正在運行於你的本地機器的端口8080,那麼該應用程序的URL將是:

http://localhost:8080/jmxapp

如果你看到一個提示你輸入名字和口令的登陸屏幕,那麼一切已經就緒了。

三、 跟蹤一些有意義的數據

本文中的應用程序使用Struts框架來提交登錄表單。一旦提交結束,即執行LoginAction.execute(..)方法-它將簡單地檢查是否用戶的ID為"hello"以及是否其口令為"world"。如果二者都正確,那麼登錄成功並且控制被導向login_success.JSP;如果不正確,那麼我們返回到登錄表單。根據登錄成功與否決定調用incrementSuccessLogins(HttpServletRequest)方法還是incrementFailedLogins(HttpServletRequest)方法。現在,讓我們先分析一下incrementFailedLogins(HttpServletRequest):

private void incrementFailedLogins(HttpServletRequest request) {
  HttpSession session = request.getSession();
  ServletContext context =session.getServletContext();
  Integer num = (Integer) context.getAttribute( Constants.FAILED_LOGINS_KEY);
  int newValue = 1;
  if (num != null) { newValue = num.intValue() + 1; }
  context.setAttribute( Constants.FAILED_LOGINS_KEY, new Integer(newValue));
}

這個方法增加一個在應用程序范圍存儲的FAILED_LOGINS_KEY變量。這個incrementSuccessLogins(HttpServletRequest)方法是以相似的方法實現的。該應用程序追蹤有多少人成功地登錄和有多少人認證失敗。這真不錯,但是我們該如何存取這些數據?這就是引入JMX的原因。


四、 創建JMX MBeans

MBeans基礎知識及其適於JMX架構的方面超出了本文所討論的范圍。我們將為我們的應用程序簡單地創建、實現、暴露和保護一個MBean。我們所感興趣的是暴露相應與下列兩個方法的兩種數據。下面是我們的簡單MBean接口:

public interface LoginStatsMBean {
  public int getFailedLogins();
  public int getSuccessLogins();
}

這兩個方法簡單地返回成功和失敗登陸的數目。LoginStatsMBean的實現-LoginStats,為上面兩種方法提供了一種具體的實現。讓我們分析一下getFailedLogins()實現:

public int getFailedLogins() {
  ServletContext context = Config.getServletContext();
  Integer val = (Integer) context.getAttribute( Constants.FAILED_LOGINS_KEY);
  return (val == null) ? 0 : val.intValue();
}

該方法返回一個存儲在ServletContext中的值。getSuccessLogins()方法是以相似的方式實現的。

五、 創建和保護一個JMX代理

管理應用程序的JMX相關方面的JMXAgent類有以下幾個責任:

1. 創建一個MBeanServer。

2. 用MBeanServer注冊LoginStatsMBean。

3. 創建一個JMXConnector以允許遠程客戶進行連接。

o 包含對JNDI的使用。

o 也必須有一個RMI注冊運行。

4. 使用一個用戶名和口令保護JMXConnector。

5. 分別在應用程序啟動和停止時,啟動和停止JMXConnector。

JMXAgent的類輪廓是:

public class JMXAgent {
public JMXAgent() {
//初始化JMX服務器
}
public void start() {
//啟動JMX服務器
}
//在應用程序結束時調用
public void stop() {
//停止JMX服務器
}
}

讓我們理解在該構造器的這部分代碼-它能夠使得客戶遠程地監控該應用程序。

用MBeans創建一個MBeanServer

我們首先創建一個MBeanServer對象。它是JMX基礎結構的核心組件,它允許我們暴露我們的MBeans作為可管理的對象。MBeanServerFactory.createMBeanServer(String)方法使得這一任務極為輕松。所提供的參數是服務器的域。可以把它當作這個MBeanServer的唯一的名字。然後,我們用MbeanServe來注冊LoginStatsMBean。MBeanServer.reGISterMBean(Object,ObjectName)方法使用的參數有兩個:一個是MBean實現的一個實例;另一個是類型ObjectName的一個對象-它用於唯一地標識該MBean;在這種情況下,DOMAIN+":name=LoginStats"就足夠了。

MBeanServer server = MBeanServerFactory.createMBeanServer(DOMAIN);
server.registerMBean(new LoginStats(),new ObjectName(DOMAIN+ ":name=LoginStats"));

六、 創建JMXServiceURL

到現在為止,我們已經創建了一個MBeanServer並且用它注冊了LoginStatsMBean。下一步是使得該服務器對客戶可用。為此,我們必須創建一個JMXServiceURL-它描述了客戶將用來存取該JMX服務的URL:

JMXServiceURL url = new JMXServiceURL("rmi",null,
Constants.MBEAN_SERVER_PORT,
"/jndi/rmi://localhost:" +Constants.RMI_REGISTRY_PORT +"/jmxapp");

讓我們細致地分析一下上面一行代碼。該JMXServiceURL構造器使用了四個參數:

1. 在連接時使用的協議(rmi,jmxmp,iiop,等等)。

2. JMX服務的主機。用localhost作為參數就足夠了。然而,提供null強制JMXServiceURL找到可能是最好的主機名。例如,在這種情況下,它將把null翻譯成zarar-這是我的計算機的名字。

3. JMX服務使用的端口。

4. 最後,我們必須提供URL路徑-它指示怎樣找到JMX服務。在這種情況下,它會是/jndi/rmi://localhost:1099/jmxapp。

其中,/jndi部分是指,客戶必須為JMX服務做一下JNDI查詢。rmi://localhost:1099指示,存在一個運行於本機的端口1099的RMI注冊。這裡的jmxapp是在RMI注冊中唯一標識這個JMX服務的。在JMXServiceURL對象上的一個toString()產生下列結果:

service:jmx:rmi://zarar:9589/jndi/rmi://localhost:1100/jmxapp

上面是客戶將最終使用來連接到該JMX服務的URL。J2SE 5.0文檔有關於這個URL結構的更為詳細的解釋。

(一) 保護服務

J2SE 5.0提供了一種有利於JMX用一種容易的方式進行用戶認證的機制。我創建了一個簡單的文本文件-它存儲用戶名和口令信息。文件的內容是:

zarar siddiqi

fyodor DOStoevsky

用戶zarar和fyodor被分別通過口令siddiqi和DOStoevsky認證。下一步是創建並保護一個JMXConnectorServer,它暴露了該MbeanServer。username/password文件的路徑被存儲在該鍵下的一個映射中-jmx.remote.x.passWord.file。這個映射在以後創建JMXConnectorServer時使用。

ServletContext context = Config.getServletContext();
//得到存儲jmx用戶信息的文件
String userFile =context.getRealPath("/")+"/Web-INF/classes/"+Constants.JMX_USERS_FILE;
//創建authenticator並且初始化RMI服務器
Map<string> env = new HashMap<string>();
env.put("jmx.remote.x.passWord.file", userFile);
現在,讓我們創建JMXConnectorServer。下面一行代碼完成這一功能:
connectorServer = JMXConnectorServerFactory.
newJMXConnectorServer(url, env, server);

這個JMXConnectorServerFactory.newJMXConnectorServer(JMXServiceURL,Map,MBeanServer)方法使用我們剛創建的三個對象作為參數-它們是JMXServiceURL,存儲認證信息的映射和MBeanServer。其中,connectorServer實例變量允許我們分別在應用程序啟動和停止時,分別用start()和stop()來啟動和停止JMXConnectorServer。

提示 盡管JSR 160的J2SE 5.0實現相當有力;但是另外的實現,例如MX4J,也提供了一些類-它們提供了方便的特性,例如口令混淆,也就是PassWordAuthenticator類。

七、 啟動RMI注冊

在早些時候,我提到RMI注冊並且指出當訪問服務時執行一個JNDI查詢。然而,現在我們沒有一個正運行的RMI注冊,因此一個JNDI查詢將失敗。一個RMI注冊的啟動可以用手工方式或編程方式來實現。

(一) 使用命令行

在你的Windows或Linux命令行上,輸入下列一名來啟動一個RMI注冊:

rmiregistry &

這將啟動你的默認主機和端口(分別是localhost和1109)的RMI注冊。然而,對於我們的web應用程序來說,我們不可能依賴一個在應用程序啟動時可用的RMI而寧願用編程方式來實現之。

(二) 以編程方式啟動RMI注冊

為了以編程方式啟動RMI注冊,你可以使用LocateRegistry.createRegistry(int port)方法。該方法返回類型注冊的一個對象。當我們想在應用程序一端終止這個注冊時,我們保存這個參考。就在我們啟動我們的在JMXAgent.start()中的JMXConnectorServer之前,我們首先啟動RMI注冊,使用下列代碼行:

registry = LocateRegistry.createRegistry(Constants.RMI_REGISTRY_PORT);

在應用程序一端,在JMXAgent.stop()中停止JMXConnectorServer之後,調用下列方法來終止該注冊:

UnicastRemoteObject.unexportObject(registry,true);

注意,StartupListener類觸發了應用程序開始和結束任務。

八、 訪問我們的JMX服務

我們可以有好幾種方法來存取JSR 160服務。為此,我們可以通過編程或通過使用一個GUI來實現。

(一) 使用MC4J連接

通過把jmxapp.war復制到Tomcat的WebaPPS目錄來發布該應用程序。下載並且安裝MC4J。一旦安裝完,創建一新的類型JSR 160的服務器連接並且指定該服務器URL-它在應用程序啟動時在應用程序服務器日志中打印。在我的示例中,它是:

service:jmx:rmi://zarar:9589/jndi/rmi://localhost:1100/jmxapp

提供用戶名和口令,MC4J分別把它們參考為"Principle"和"Credentials"。點擊Next將把你帶到一個屏幕-在此你可以定制你的classpath。默認設置應該工作正常,並且你可以點擊"Finish"來連接到該JMX服務。一旦建立連接,浏覽如圖1所示的MC4J樹結構,直到你找到LoginStats MBean實現的"PropertIEs"選項。

 

圖1.MC4J視圖

點擊PropertIEs顯示統計,如圖2所示:

 

圖2.屬性窗口



 

    No
  1. 下一頁:
Copyright © 程式師世界 All Rights Reserved