使用DataPower和HTML基于表单的登录实现前端身份验证

使用 DataPower 和 HTML 基于表单的登录实现轻松的前端身份验证

Simon Kapadia, 安全和设备负责人，ISSW EMEA, IBM

IBM® WebSphere® DataPower® 固件自 3.8.1 版开始支持 HTML 基于表单的登录身份验证，此功能会显示一个 HTML 表单供浏览器用户提供凭据（比如用户名和密码），然后，可以使用这些凭据对用户访问某个 Web 应用程序的权利进行验证。本文将会详细探讨此功能，提供 HTML 基于表单的登录如何部署在 DataPower 中来保护您的 Web 应用程序的实用示例。

简介

HTML 基于表单的登录身份验证经常可在互联网上看到。一个网站显示一个 HTML 表单，供浏览器用户提供凭据（比如用户名和密码），然后这些凭据可用于对用户访问某个 Web 应用程序的权利进行身份验证。IBM WebSphere DataPower Appliances 自 3.8.1 版开始在 Web 应用程序防火墙对象中支持 HTML 基于表单的登录。此功能作为一种一般性机制包含在第 5 版固件中的 AAA（身份验证、授权和审计）操作中。

我们看到的最常部署的用例是，将 DataPower HTML 表单登录功能部署在一个运行在 IBM WebSphere Application Server 上的 Java™ EE 应用程序的前面。这是一个不错的用例；DataPower 可生成一个 LTPA（Lightweight Third Party Authentication，轻量型第三方身份验证）令牌，这是 WebSphere Application Server 可理解的一种 IBM 专用的令牌格式，可将用户身份传播到应用服务器，以便可以使用它来制定授权决策或用于授权用途。但是，保护 WebSphere Application Server 上的应用程序不是 HTML 基于表单的登录的惟一用途。

本文提供一个将 DataPower 放在一个现有的未验证网站的前面的例子。在这个简单的例子中，后端是一组静态 HTML 页面，它们不需要传播身份验证信息；我们只需确保您不首先使用用户名和密码登录，就无法访问网站上的数据。未来的文章将更多地分享（在对用户执行身份验证后）您如何以一种安全方式将该信息传递到后端系统，作为一个端到端应用程序安全解决方案的一部分。DataPower 非常灵活，能够生成许多不同类型的安全令牌，这使得它成为了许多不同类型后端的前端身份验证 Web 代理的不错选择。

本文基于 DataPower 固件版本 6.0.0.3。