JMX+J2SE5.0实现Web应用的安全管理.docVIP

一、 引言　　JMX(Java管理扩展)提供了一组工具用来管理本地和远程应用程序、系统对象、设备等　　我们要分析一个简单的web应用程序，它监控已经登陆的用户数目并通过一个安全的JMX服务来显示该项统计。我们还将运行这个应用程序的多个实例并且从所有的运行实例中跟踪这个统计数字。当然，你可以下载这个示例web应用程序。它需要你安装J2SE 5.0 SDK并且你的JAVA_HOME环境变量指向基安装目录。J2SE 5.0实现了1.2版本的JMX API和JMX 1.0版本的Remote API。同时还需要一个支持servlet的容器；我使用的是Apache Tomcat 5.5.12。另外，我还使用Apache Ant来构建这一示例应用程序。　　二、 建立示例应用程序　　首先，你要下载示例应用程序并且使用ant war(更多的细节见build.xml中的注释)来创建一个WAR文件。把jmxapp.war复制到Tomcat的webapps目录。假定Tomcat正在运行于你的本地机器的端口8080，那么该应用程序的URL将是：http://localhost:8080/jmxapp　　如果你看到一个提示你输入名字和口令的登陆屏幕，那么一切已经就绪了。　　三、 跟踪一些有意义的数据　　本文中的应用程序使用Struts框架来提交登录表单。一旦提交结束，即执行LoginAction.execute(..)方法-它将简单地检查是否用户的ID为hello以及是否其口令为world。如果二者都正确，那么登录成功并且控制被导向login_success.jsp；如果不正确，那么我们返回到登录表单。根据登录成功与否决定调用incrementSuccessLogins(HttpServletRequest)方法还是incrementFailedLogins(HttpServletRequest)方法。现在，让我们先分析一下incrementFailedLogins（HttpServletRequest）： private void incrementFailedLogins(HttpServletRequest request) {　HttpSession session = request.getSession();　ServletContext context =session.getServletContext();　Integer num = (Integer) context.getAttribute( Constants.FAILED_LOGINS_KEY);　int newValue = 1;　if (num != null) { newValue = Value() + 1; }　context.setAttribute( Constants.FAILED_LOGINS_KEY, new Integer(newValue));} 　　这个方法增加一个在应用程序范围存储的FAILED_LOGINS_KEY变量。这个incrementSuccessLogins(HttpServletRequest)方法是以相似的方法实现的。该应用程序追踪有多少人成功地登录和有多少人认证失败。这真不错，但是我们该如何存取这些数据？这就是引入JMX的原因。　　四、 创建JMX MBeans　　MBeans基础知识及其适于JMX架构的方面超出了本文所讨论的范围。我们将为我们的应用程序简单地创建、实现、暴露和保护一个MBean。我们所感兴趣的是暴露相应与下列两个方法的两种数据。下面是我们的简单MBean接口: public interface LoginStatsMBean {　public int getFailedLogins();　public int getSuccessLogins();} 　　这两个方法简单地返回成功和失败登陆的数目。LoginStatsMBean的实现-LoginStats，为上面两种方法提供了一种具体的实现。让我们分析一下getFailedLogins()实现： public int getFailedLogins() {　ServletContext context = Config.getServletContext();　Integer val = (Integer) context.getAttribute( Constants.FAILED_LOGINS_KEY);　return (val == null) ? 0 : Value();} 　　该方法返回一个存储在ServletContext中的值。getSuccessLogins()方法是以相似