保持 Project Zero 和 WebSphere sMash 应用程序的安全性，第 1 部分: 身份验证和授权

清单 4. 更新 zero.config

@include　"security/rule.config"{　
　"conditions"　:　"/request/path　==　/tips.groovy",　
　"authType"　:　"Basic",　
　"groups"　:　["wizards",　"pundits"]　
}　

第一行是每个安全性规则的前导语句，它导入适当的模板。它让运行时知道您在配置一个安全性规则。第二行 conditions 实际定义用于这个安全规则的条件。在这种条件下，选择保护了一个单个的 URI 而不是一种模式。第三行，authType，指定要使用的身份验证的类型。我们将在这里使用 HTTP 基本身份验证（这在下一章节会有详细的解释），因为它不需要额外的配置。最后一行，groups，指定哪些组可以访问受保护的页面。在这里，我们向 wizards 和 pundits 这两个组里的所有成员授予访问权限；即我们目前所创建的所有用户，因为他们分属于这两个组。保存文件并重启 Zero 服务器以便能反映更新后的配置。

Zero 内置的身份验证类型有三种：基本的、基于表单的和 SSO。本文主要侧重于基本的和基于表单的身份验证。有关 SSO 身份验证的更多信息可以参考 Zero 文档。

基本身份验证

注意：HTTP 基本身份验证并不是一种很好的验证用户的方式，不应该用于实际的产品部署。原因之一是一旦用户提供了其用户名和密码，它就会被简单编码（而非加密 — 而且其编码的方式很容易被破解），然后在每次对该服务器发出后续请求时 都被发送回服务器。

其背后的含义是双方面的。首先，这意味着对该服务器 “安全” 通信流量的任意截取都会泄露用户的实际用户名和密码，而用户名和密码在用户显式更改之前一直都是有效的（与使用 cookie 进行身份验证的典型方式对比，cookie 只会在很短的一段时间内有效，通常只有几个小时）。然而更重要的是，几乎不可能登出（log out）那些已经用基本身份验证验证了的用户，原因是每次他们访问一种新资源，其浏览器都会再次提供他们的用户名和密码！用户要想登出惟一的方法是关闭浏览器；但只有少数用户会这么做。