WebSphere Application Server V7 高级安全性加强，第 1 部分：安全性加强概述和方法（下）

核心提示： 在 WebSphere Application Server Information Center 中可以找到关于角色及其拥有的权限的完整文档，但是，WebSphere Application Server V7 高级安全性加强，第 1 部分：安全性加强概述和方法（下）(10)，应该特别注意下面

在 WebSphere Application Server Information Center 中可以找到关于角色及其拥有的权限的完整文档。但是，应该特别注意下面三个角色：

Monitor：授予用户或系统这个访问级别，就意味着他们只能监视系统状态；不能更改状态，也不能更改配置。例如，如果您开发用于检查系统运行状况的监视脚本，并且必须用该脚本在本地保存用户 ID 和密码，则应该使用具有 Monitor 角色的 ID。即使该 ID 被窃取，所造成的损害也不会很严重。

AdminSecurityManager：（V6.1 中增加的）具有此角色的用户可以授予其他用户管理角色。Administrator 角色本身没有这个权限。现在，可以向用户授予各种权限（甚至包括 Administrator 权限），同时仍然确保他们无法把这些权限再授予别人。

Auditor：（V7 中增加的）具有此角色的用户可以配置审计系统，但是没有其他任何权限。另一方面，Administrator 可以配置除审计系统之外的任何东西。这提供明确的职责分隔。Administrator 可以更改配置，但是无法 “掩盖” 操作痕迹，因为他无法禁用审计。

24. 考虑加密 Web 服务器到 Web 容器的链路

即使不对从 Web 服务器到 Web 容器的链路进行身份验证，也可能希望考虑对它进行加密。Web 服务器插件通过 HTTP 把来自 Web 服务器的信息传输到 Web 容器。如果到达 Web 服务器的请求使用的是 HTTPS，那么在默认情况下插件使用 HTTPS 转发请求。如果到达的请求使用的是 HTTP，那么插件使用 HTTP。这些默认行为对于大多数环境是合适的。但是，有一种例外情况。