开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何授予对托管在Google Compute Engine的VM上的Java Web应用程序的访问权限

要授予对托管在Google Compute Engine（GCE）的虚拟机（VM）上的Java Web应用程序的访问权限，通常涉及以下几个步骤：

基础概念

身份验证：验证用户的身份。
授权：确定验证后的用户是否有权限执行特定操作。
访问控制列表（ACL）：定义哪些用户或组可以访问资源。

相关优势

安全性：通过细粒度的权限控制，确保只有授权用户才能访问应用程序。
灵活性：可以根据需要动态调整权限设置。
可维护性：集中管理权限，便于维护和审计。

类型

基于角色的访问控制（RBAC）：根据用户的角色分配权限。
基于属性的访问控制（ABAC）：根据用户属性、资源属性和环境条件动态决定权限。

应用场景

企业内部应用：确保员工只能访问其工作相关的资源。
多租户应用：不同租户之间需要有严格的权限隔离。
公共Web应用：区分匿名用户和注册用户的访问权限。

实施步骤

创建用户和服务账户：
- 在Google Cloud Platform（GCP）上创建用户账户和服务账户。
- 服务账户可以用于应用程序的身份验证。

配置IAM角色：
- 使用GCP的Identity and Access Management（IAM）服务来分配角色和权限。
- 例如，可以为服务账户分配“Compute Admin”角色以管理VM实例。
设置防火墙规则：
- 在GCE中配置防火墙规则，允许特定IP地址或网络访问VM。
- 可以使用GCP控制台或gcloud命令行工具进行设置。
Java Web应用程序集成：
- 在Java应用程序中实现身份验证机制，如OAuth 2.0。
- 使用JWT（JSON Web Tokens）进行授权验证。

示例代码

以下是一个简单的Java Servlet示例，展示如何使用JWT进行身份验证：

import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

public class AuthServlet extends HttpServlet {
    private static final String SECRET_KEY = "yourSecretKey";

    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws IOException {
        String token = request.getHeader("Authorization");
        if (token != null && token.startsWith("Bearer ")) {
            token = token.substring(7);
            try {
                String username = Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody().getSubject();
                // 验证通过，处理请求
                response.getWriter().write("Hello, " + username);
            } catch (Exception e) {
                response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
                response.getWriter().write("Invalid token");
            }
        } else {
            response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
            response.getWriter().write("Missing token");
        }
    }
}

常见问题及解决方法

权限不足：
- 检查IAM角色和权限设置是否正确。
- 确保服务账户有足够的权限访问所需资源。

防火墙阻止访问：
- 确认防火墙规则允许来自客户端的流量。
- 使用gcloud compute firewall-rules list检查现有规则。
JWT验证失败：
- 确保JWT签名密钥正确无误。
- 检查令牌是否过期或被篡改。

通过以上步骤和方法，可以有效管理和控制对GCE上Java Web应用程序的访问权限。

相关搜索:在Google Compute Engine VM上的crontab中计划Python脚本使用Google Compute Engine上的应用程序默认凭据访问Sheets API 如何授予对已安装的GitHub应用程序的存储库访问权限如何授予Java Web App对数字海洋水滴的访问权限如何创建Google 2授权以授予对我的Google Cloud端点自定义OAuth的访问权限？如何跨两个单独的Google Cloud Platform (GCP)项目授予对资源的访问权限？如何访问已经在google analytics中被授予权限的服务帐户的视图ID？如何阻止用户查看托管在google app engine上的react app staging环境？当我尝试连接到VPN服务提供商(NordVPN)时，在Google Compute Engine中失去对VM实例Debian9的控制用户具有对其个人帐户的共享访问权限。如何从技术上撤销Google账户的共享访问权限？如何为google应用程序脚本web应用程序(非市场)授予域范围内的用户数据权限如何授予安卓应用程序用户访问亚马逊网络服务S3对象的权限？如何在firebase托管的web应用程序上使用google登录永远不会被注销？在Google Play商店上发布对不同Android版本使用不同权限的应用程序？如何使用单个PostGreSQL，同时让两个在Google App Engine和Google App Engine中灵活运行的Django应用程序访问它使AJAX应用程序可抓取？如何在Google App Engine上构建简单的Web服务来生成HTML快照？在授予新用户访问应用程序的权限之前，如何在Flutter和Firebase中验证他们的电子邮件？如果没有服务器名称前缀，我如何访问托管在IIS上的Angular应用程序？如何使用google script在像msg box这样的web应用程序上获取输入信息如何允许JAVA Web Start应用程序通过双击macOS文件来访问JNLP上的文件系统？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

TPU使用说明

1.2 实用查询链接 Compute Engine 价格表 Compute Engine 价格计算器 1.3 价格计算实例以下示例解释了如何计算一项训练作业的总费用，该作业使用美国区域的 TPU 资源和...官方的解释是它是适用于非结构化对象的一种功能强大且经济有效的存储解决方案，非常适合托管实时网页内容、存储用于分析的数据、归档和备份等各种服务。...输入storage名即可创建完成，注意名称需要是unique的，否则无法创建成功。 ? 2.2.2 上传和共享对象要开始使用您的存储分区，只需上传对象并开放其访问权限即可。...通过向Cloud TPU服务帐户授予特定的IAM角色(见下图)，确保您的Cloud TPU可以从GCP项目中获得所需的资源。执行其他的检查。将您登录到新的Compute Engine VM。...删除Computer Engine VM和Cloud TPU $ ctpu delete ！！！特别注意：如果在创建VM的时候指定了name，name在删除的时候同业也要指定name。

2K2 0

【壹刊】Azure AD（三）Azure资源的托管标识

主体 ID - 托管标识的服务主体对象的对象 ID，用于授予对 Azure 资源的基于角色的访问权限。...下图演示了托管服务标识如何与 Azure 虚拟机 (VM) 协同工作： 3，系统分配托管标识如何与 Azure VM 协同工作 Azure 资源管理器收到请求，要求在 VM 上启用系统分配托管标识。...VM 有了标识以后，请根据服务主体信息向 VM 授予对 Azure 资源的访问权限。...创建用户分配托管标识以后，请根据服务主体信息向标识授予对 Azure 资源的访问权限。...开启系统分配的托管标识，其实就是授予例如 Azure VM资源的托管标识对另外一个Azure 资源的访问权限。

2.1K2 0

【可扩展性】谷歌可扩展和弹性应用的模式

借助 Compute Engine 托管实例组，您可以将虚拟机实例分布在一个区域中的多个地区，并将这些实例作为一个逻辑单元进行管理。...例如，您可以使用 Cloud SQL 提供的 MySQL 数据库，而不是在虚拟机 (VM) 上安装和管理 MySQL 数据库。...它还显示了将流量从 Web 层分配到每个区域内的内部层的内部负载平衡。监控您的基础架构和应用程序在决定如何提高应用程序的弹性和可扩展性之前，您需要了解其行为。...这些探针帮助 Kubernetes 编排器决定如何管理集群中的 Pod 和请求。如果您的应用程序部署在 Kubernetes 上，最好通过适当的端点将应用程序的运行状况暴露给这些探测器。...GKE 提供托管 Kubernetes 环境来托管和编排您的容器化应用程序。当您需要完全控制容器环境时，您还可以在 Compute Engine 上运行应用容器。

1.8K2 0

如何在 Google Cloud 上部署 EMQX 企业版

图片 2.如果您之前没有创建过 Virtual Machine，将跳转到 Compute Engine API 详情页面，点击 ENABLE 启用 Compute Engine API 以继续创建过程。...图片图片 1.登录 GCP 控制台，点击 Navigation menu → PRODUCTS → COMPUTE → Compute Engine → VM Instances 进入到 VM instances...GCP VM instance 上的安装。...在 GCP 上打开防火墙端口在 GCP 上安装服务或应用程序后，您需要手动开放所需的端口才能够从外部访问它，请按照以下步骤在 GCP 上打开所需端口。...1.访问 MQTT X Web 页面，点击 New Connection 或菜单栏 + 图标创建连接。

2.8K1 0

沙盒逃逸：谷歌应用引擎（GAE）中存在30+个沙盒绕过漏洞

安全研究人员在谷歌应用引擎（Google App Engine）的Java环境中发现了大量高危漏洞，攻击者可以利用这些漏洞绕过谷歌安全沙盒的保护。...谷歌应用引擎（Google App Engine）是谷歌管理的数据中心中用于Web应用程序开发和托管的平台，也是谷歌云计算的一部分。...GAE（Google App Engine）还支持用户使用多种语言和框架开发应用程序，但它们中的大部分都是建立在Java环境中。...他们发现了22个Java VM（虚拟存贮器）安全沙盒逃逸漏洞，并已成功测试了其中的17个。...研究人员可以执行原生代码（native code），执行任意库/系统调用，获得组成JRE沙盒的文件（二进制/类）的访问权限。

1.4K7 0

Google 基础架构安全设计概述

此外，我们配备了相关系统来扫描用户安装的应用、下载内容、浏览器扩展程序和网络浏览内容，以确保其适合企业客户端。是否在企业局域网上不是我们用来判断是否授予访问权限的主要机制。...降低来自内部人员的风险我们积极限制并主动监控拥有基础架构管理员权限的员工的活动，并且在不断地努力以期取消针对特殊任务授予特别访问权限的必要性，改为以安全可控的方式自动完成同样的任务。...Compute Engine 使客户能在 Google 的基础架构上运行自己的虚拟机。Compute Engine 实现涉及到若干逻辑组件，最显著的是管理控制平面和虚拟机本身。...各项服务在不同的内部服务帐号下运行，以便每项服务仅被授予在向控制平面的其余部分发出远程过程调用 (RPC) 时所需的权限。...Compute Engine 永久性磁盘通过受中央基础架构密钥管理系统保护的密钥进行了静态加密。这样便可实现自动轮替，并对这些密钥的访问权限进行集中审核。

1.7K1 0

TPU使用说明

1.2 实用查询链接 Compute Engine 价格表 Compute Engine 价格计算器 1.3 价格计算实例以下示例解释了如何计算一项训练作业的总费用，该作业使用美国区域的 TPU 资源和...，只需上传对象并开放其访问权限即可。...通过向Cloud TPU服务帐户授予特定的IAM角色(见下图)，确保您的Cloud TPU可以从GCP项目中获得所需的资源。执行其他的检查。将您登录到新的Compute Engine VM。...断开与Computer Engine VM的连接： (vm)$ exit 成功断开之后shell prompt会变成项目名而不是VM名。 2....我在删除的时候没有加name，虽然命令行结果显示删除成功，但是后面我在控制台查看资源使用情况，发现VM实例依旧存在。所以最保险的办法是命令输完后，去控制台看看实例是否还存在。

1.5K3 0

TPU使用说明

1.2 实用查询链接 Compute Engine 价格表 Compute Engine 价格计算器 1.3 价格计算实例以下示例解释了如何计算一项训练作业的总费用，该作业使用美国区域的 TPU 资源和...，只需上传对象并开放其访问权限即可。...通过向Cloud TPU服务帐户授予特定的IAM角色(见下图)，确保您的Cloud TPU可以从GCP项目中获得所需的资源。执行其他的检查。将您登录到新的Compute Engine VM。...Google也有提供如何在TPU上运行该代码的教程:Training AmoebaNet-D on Cloud TPU 3.1 在Colab上运行结果为检验代码是否可以正常运行，采用的是Google提供的伪造的...3.2 在Google Cloud上运行结果 3.2.1 配置环境按照如上操作配置好VM,TPU和STORAGE BUCKET后，还需要命令行中配置如下信息： TPU_NAME 我的TPU信息如下：

3.4K0 0

云环境中的横向移动技术与场景剖析

这种方法并不会授予威胁行为者针对目标实例上运行时环境的访问权限（包括内存中的数据和实例云元数据服务中可用的数据，如IAM凭据等），但却允许威胁行为者访问存储在目标实例磁盘上的数据。...但实例也可以将其SSH密钥存储在项目元数据中，这意味着这些密钥将授予对项目中所有实例的访问权。只要实例不限制项目范围的SSH密钥，这种技术就可以工作。...Azure：VMAcess扩展另外一种值得注意的横向移动技术就是利用Azure中的VMAccess扩展，VMAccess扩展可以用于重置对虚拟机（VM）的访问，其在Linux VM中的功能之一包括更新用户的...具备高级权限云凭证的威胁行为者可以使用此扩展并通过重置指定VM中特定用户的SSH密钥来访问VM，此操作需要在Azure CLI中执行，相关命令如下：该技术还可以扩展为攻击同一资源组中多个VM的特定用户...此时，威胁行为者可以使用StartSession API建立到多个托管实例的连接，并使用如下图所示的命令在每个实例上启动交互式Shell会话：需要注意的是，该方法不需要EC2实例中相关安全组的SSH入站规则

1721 0

问世十三载，论AWS的江湖往事

EC2 Amazon Elastic Compute Cloud（Amazon EC2）是一项基于Web的服务，允许企业在AWS公共云中运行应用程序。...Amazon S3 Amazon Simple Storage Service（Amazon S3）是一种可扩展的、高速的、基于Web的云存储服务，专为AWS上的数据和应用程序的在线备份和归档而设计。...Google提供Google Compute Engine来引入云计算服务。 ? 存储存储是云服务的关键功能之一。...AWS和Azure在这方面的投入似乎比Google更多，AWS甚至提供外包托管服务（AWS托管服务）。 ? 数据库数据库提供与数据库工作负载相关的服务。...要想保住自己的地位不变，甚至是扩大自己在江湖的影响力，增强自身实力才是重中之重。如今的江湖格局在未来数十年又将如何，还待时间来揭晓。

2.8K1 0

浅谈云上攻防——Web应用托管服务中的元数据安全隐患

Web应用托管服务中的元数据安全隐患在Web应用托管服务中的元数据安全隐患章节中，我们将以AWS 下的Elastic Beanstalk服务进行举例，以此介绍一下攻击者如何攻击Web应用托管服务并利用元数据服务获取信息发起后续攻击...用户在使用Elastic Beanstalk中部署Web应用程序时，如果用户的Web应用程序源代码中存在SSRF、XXE、RCE等漏洞，攻击者可以利用这些漏洞访问元数据服务接口，并获取account-id...，从而将攻击者上传的webshell部署至实例上，攻击者可以访问webshell路径进而使用webshell对实例进行权限控制。...此外，可以通过限制Web应用托管服务中绑定到实例上的角色的权限策略进行进一步的安全加强。在授予角色权限策略时，遵循最小权限原则。最小权限原则是一项标准的安全原则。...即仅授予执行任务所需的最小权限，不要授予更多无关权限。例如，一个角色仅是存储桶服务的使用者，那么不需要将其他服务的资源访问权限（如数据库读写权限）授予给该角色。

3.8K2 0

Azure AD（四）知识补充-服务主体

Azure AD资源托管标识的内容，其实就包括如何去操作开启系统分配的托管标识，以及通过开启托管标识，VM如何去访问Azure 中的一些资源，如 “Key Vault” 等。...安全主体定义 Azure AD 租户中用户/应用程序的访问策略和权限。这样便可实现核心功能，如在登录时对用户/应用程序进行身份验证，在访问资源时进行授权。...当应用程序被授予了对租户中资源的访问权限时（根据注册或许可），将创建一个服务主体对象。 Microsoft Graph ServicePrincipal 实体定义服务主体对象属性的架构。...多租户 Web 应用程序/API 还会在租户中的某个用户已同意使用它的每个租户中创建服务主体。...2 当 Contoso 和 Fabrikam 的管理员完成同意并向应用程序授予访问权限时，会在其公司的 Azure AD 租户中创建服务主体对象，并向其分配管理员所授予的权限。

1.7K2 0

每个人都必须遵循的九项Kubernetes安全最佳实践

通常应避免使用集群范围的权限，而使用特定于命名空间的权限。避免给予任何集群管理员权限，即使是为了调试，仅在需要的情况下，根据具体情况授予访问权限会更安全。...如果你的应用程序需要访问Kubernetes API，请单独创建服务帐户，并为每个使用站点提供所需的最小权限集。这比为命名空间的默认帐户授予过宽的权限要好。...要使用它们，你需要确保拥有支持此资源的网络提供程序，对于一些托管的Kubernetes供应商，例如Google Kubernetes Engine（GKE），你需要选择启用。...考虑除了可信网络以外限制对Kubernetes API服务器的访问。恶意用户滥用对这些端口的访问权限，在未配置为需要在kubelet API服务器上进行身份验证和授权的集群中运行加密货币挖掘。...限制对Kubernetes节点的管理访问。通常应限制对集群中节点的访问。调试和其他任务通常可以在不直接访问节点的情况下处理。 9.

1.5K1 0

从 Azure AD 到 Active Directory（通过 Azure）——意外的攻击路径

Acme IT 根据强化建议锁定了 DC，并将 Azure 管理限制在托管 DC 的 VM 上。Acme 在 Azure 的服务器上托管了其他敏感应用程序。...破坏帐户，提升对 Azure 的访问权限，通过 Azure 角色成员身份获取 Azure 权限，删除提升访问权限，对所有订阅中的任何或所有 Azure VM 执行恶意操作，然后删除 Azure 中的角色成员身份...[摘自2019年9月的报价] 在您考虑在 VM 上运行 PowerShell（作为系统）的能力之前，这听起来对 Azure VM 的访问非常有限。...注意：能够在 Azure VM 上运行命令并不特定于托管在 Azure 上的客户本地 Active Directory DC，也适用于托管在那里的其他系统。...Azure 无法很好地控制谁可以在 Azure VM 上运行敏感的命令，例如 Azure 托管的域控制器（或客户 Azure VM 上托管的其他应用程序）。

2.6K1 0

混合云使用不能盲目：学习最佳实践是王道

在这种情况下，一些组件（通常是数据存储和身份验证或授权目录）在私有云上运行。其他组件（如Web前端，中间件业务逻辑和分布式大数据分析引擎（Hadoop，Spark等））在公共云上运行。...较小的组织越来越多地在托管主机或在托管服务提供商提供的设施上运行私有云。这样做的明显好处是减少数据中心资产费用和管理开销。...然而，只有未开发的系统应该尝试在公共云和私有云上分解应用程序中的功能（例如，计算在公有云而数据在私有云）。Azure站点恢复等服务可以自动执行现场VM清单，VM镜像和数据的复制，以及服务部署的过程。...PaaS方案（如Azure App Service和Google App Engine）可以更轻松地使用高级的云服务，例如托管数据库，大数据分析，机器学习，负载平衡器和内容交付网络。...PaaS平台（如Azure App Service，Google App Engine或像IBM Bluemix一样的Cloud Foundry提供商之一）可以减轻开发人员对运行时基础架构选择的担忧，这使得开发人员可以专注于业务逻辑和数据库设计

1K15 0

Google 的 Serverless 产品对比：Cloud Run、Cloud Functions、App Engine

在 Google 完全托管环境中部署 Cloud Run 容器可为开发人员提供 Serverless 的通常优势（无需管理基础架构，按使用付费，更容易自动缩放），还支持任意数量的编程语言、库或系统二进制文件...Google App Engine: Serverless 应用 App Engine 是 Google 针对 Web 和 API 后端的完全托管的 Serverless 应用程序平台。...在 Google App Engine 中，您只需获取代码并将其部署到 Google 上，然后为您消耗的资源付费-这在 App Engine 上作为包含一个或多个服务的单个资源运行。...如上所示，使用单个命令从您的应用程序目录在 Google App Engine 上部署 Hello World。根据您的特定需求，您可以在两种类型的 App Engine 环境中选择一种来运行代码。...对于具有更稳定流量的应用程序，使用自定义运行时或不受支持的编程语言在 Docker 容器中运行，或者要访问在运行在 Compute Engine 上的 Google Platform 项目的其他部分，请使用

3.4K0 0

谷歌对决亚马逊在云中运行Hadoop

Google Compute Engine 的虚拟机提供了一种快速、可靠的方式来运行 Apache Hadoop。...下图是Hadoop在Google Cloud Platform上的图解。在Google Cloud Storage上存储数据时HDFS、NameNode是可选的。 ?...你的数据是安全和一致的，不需要更多的努力。互通性：通过在Google Cloud Storage保管你的数据，你可以从Google上其它已经完美融合的服务中获益。...Google很乐意听到你关于如何更好的在Google Cloud Platform运行Hadoop和MapReduce的反馈和想法。...写在最后：为了与该领域的主要对手 AWS及其EC2竞争，Google已经通过增加一系列得新特性来巩固其平台优势，包括更先进的路由、高达10TB的大型永久磁盘、更新App Engine托管服务以及降低成本等

1.3K3 0

Google Workspace全域委派功能的关键安全问题剖析

根据研究人员的发现，一个具有必要权限的GCP角色可以为委派用户生成访问令牌，恶意内部攻击者或窃取到凭证数据的外部攻击者将能够使用此访问令牌来冒充 Google Workspace用户，从而授予对目标数据未经授权的访问权限...GCP和Google Workspace之间链接的一种常见场景，就是一个托管在GCP中的应用程序需要跟Google Workspace中的某个服务进行交互时，这些服务包括： Gmail； Calendar...如果请求有效并且服务帐户已被授予必要的全域委派权限，则令牌节点将使用访问令牌进行响应，应用程序可以使用此访问令牌在请求的范围限制内跨域访问用户数据； 3、API访问：应用程序在 API 请求中包含访问令牌作为身份认证...Workspace用户，从而授予对目标数据未经授权的访问权限，或直接代表合法用户执行操作。...“Google Workspace管理员已启用对GCP服务帐户的全域委派，并授予其对敏感范围的访问权限”警报：缓解方案为了缓解潜在的安全风险问题，最佳的安全实践是将具备全域委派权限的服务账号设置在GCP

2301 0

2014年9月26日 Go生态洞察：使用Docker部署Go服务器

在本篇博客中，我将详细介绍如何为一个简单的Go Web应用创建Docker容器，并将其部署到Google Compute Engine上。...在Web浏览器中打开http://localhost:6060/，你应该能看到相应的页面。...部署容器到Google Compute Engine Google提供了优化的Google Compute Engine镜像，可以轻松启动运行任意Docker容器的虚拟机。...学习更多要了解有关Docker和Go的更多信息，可以查看[Docker的广泛文档](https://docs .docker.com/)，以及Google Compute Engine的相关页面。...Google Compute Engine 利用Google云平台部署容器化的Go应用总结感谢大家阅读这篇文章，希望它能帮助你更好地理解如何使用Docker部署Go服务器。

1251 0

OAuth 2.0初学者指南

OAuth通过在用户批准访问权限时向请求（客户端）应用程序授予令牌来执行此操作。每个令牌在特定时间段内授予对特定资源的有限访问权限。 1....Oauth2是一个授权协议： OAuth2支持“委派身份验证”，即授予对其他人或应用程序的访问权限以代表您执行操作。考虑一下这种情况：你开车去一家优雅的酒店，他们可能会提供代客泊车服务。...机密客户端在安全服务器上实现，具有对客户端凭证的受限访问（例如，在Web服务器上运行的Web应用程序）。...现在问题是，FunApp如何获得用户从Facebook访问他/她的数据的权限，同时告知Facebook用户已授予此权限FunApp使Facebook能够与这个应用程序共享用户的数据？...iv）客户端凭据：当客户端本身拥有数据且不需要资源所有者的委派访问权限，或者已经在典型OAuth流程之外授予应用程序委派访问权限时，此授权类型是合适的。在此流程中，不涉及用户同意。

2.5K3 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭