`
dacoolbaby
  • 浏览: 1266113 次
  • 性别: Icon_minigender_1
  • 来自: 广州
社区版块
存档分类
最新评论

web.xml和Tomcat下的安全认证

    博客分类:
  • Java
阅读更多

Tomcat -- 安全认证 About</security-constraint>

凡是做过WEB项目的都知道,一但涉及用户,我们不得不为用户登录写一堆繁杂的验证代码。

当然Spring AOP的诞生为我们的权限管理提供了不少的便利。

甚至你也以用自己写的Filter(过滤器)来对你的程序进行登录时的验证。

 

今天在这里和大家分享一种更为简便的方法,最原始的认证方式,它就是Java Web的安全验证机制。
      这种机制是对立地WEB的容器之上的,如Tomcat,JBoss等,你只须在你应用中的web.xml文件中做一定的配置就可以完成一个简单的登录验证的功能。确切地说WEB安全验证机制不仅可以让我们完成登录的功能,它更侧重于安全两字。你可以把受保护的资源全部定义在你的资源集里面,这样用户只有在取得了合法的身份验证之后才可以访问,它可以保护  WEB的整个应用、某个子文件夹、甚至于特定的一类文件,这将取决于你对资源集的定义。
      Tomcat容器支持以下四种认证方式:
     1. BASIC认证:这种方式被认为是最不安全的认证,因为它没有提供强烈的加密措施。
     <login-config>
          <auth-method>BASIC</auth-method>
    </login-config
    2. DIGEST认证:相比于BASIC认证,它是种比较安全的认证,它在认证时将请求数据 通过MD5的加密方式进行认证。
     <login-config>
         <auth-method>DIGEST</auth-method>
     </login-config>

     3.FORM认证:这是种基础自定义表单的认证,你可以指定登录时的验证表单。
      <login-config>
         <auth-method>FORM</auth-method>
         <form-login-config>
             <!—创建登录表单 -->
             <form-login-pages>/login.htm</form-login-pages>
             <!—创建错误表单 -->
             <form-error-pages>/error.html</form-error-pages>
          </form-login-config>
       </login-config>
    
       以下是login.htm的内容:(注意form的action还有input元素的name,这些是固定的)
       <form action="j_security_check" method="post">
           Username<input type="text" name="j_username" /><br />
           Password<input type="password" name="j_password" /><br />
          <input type="submit" />
       </form>
    4.CLIENT-CERT认证:这是一种基于客户端证书的认证方式,比较安全。但缺陷是在没有安全证书的客户端无法使用。
    <login-config>
         <auth-method>CLIENT-CERT</auth-method>
    </login-config>

     下面介绍一下,配置认证的步骤:
     1.定义角色:这些角色可以是TOMCAT的tomcat-user.xml文件中定义的默认角色及用户,也可以是自己创建的数据库角色与用户表。以下分别介绍:
     1.1 基本TOMCAT已有用户及角色的认证配置:
     tomcat-users.xml中的role元素
    <tomcat-users>
      <role rolename=”Admin”/>
      <role rolename=”Manager”/>
      <user username=”admin”password=”admin” role=”Admin, Manager”/>
    </tomcat-users>
    web.xml文件中的security-role元素
    <security-role>
    <!—该角色须在tomcat-users.xml定义过-->
        <role-name>Admin</role-name>
    </security-role>

    1.2 基本自定义数据库用户表的认证配置:
     如果你想基于自己定义的数据表进行认证,那你得在META-INF文件夹下创建一个名为 context.xml文件,配置如下内容:

    <?xml version="1.0" encoding="UTF-8"?>
    <Context path="/mycms">
    <Realm className="org.apache.catalina.realm.JDBCRealm"
                 connectionName="root"
                 connectionPassword="123456"
                 connectionURL="jdbc:mysql://localhost:3306/mycms"
                 driverName="com.mysql.jdbc.Driver"
                 roleNameCol="rolename"
                 userCredCol="password"
                 userNameCol="username"
                 userRoleTable="mc_userroles"
                 userTable="mc_users"/>
      </Context>
     这里配置了数据库的连接信息以及指定了认证的用户表及角色表。
     2 定义资源/方法约束
     在web.xml文件中定义如元素:
     <security-constraint>
        <display-name>MyCMS</display-name>
        <web-resource-collection>
            <web-resource-name>Protected Area</web-resource-name>
            <!-- Define the context-relative URL(s) to be protected -->
            <url-pattern>/admin/*</url-pattern>
        </web-resource-collection>
        <auth-constraint>
            <!-- Anyone with one of the listed roles may access this area -->
            <role-name>Admin</role-name>
        </auth-constraint>
    </security-constraint>
    <!-- Login configuration uses form-based authentication -->
    <login-config>
        <auth-method>BASIC</auth-method>
        <realm-name>MyCMS</realm-name>
    </login-config>
   
    <!-- Security roles referenced by this web application -->
    <security-role>
        <description>
            The role that is required to log in to the Administration Application
        </description>
        <role-name>Admin</role-name>
    </security-role>
     至此我们基本TOMCAT的安全认证配置就完成了。至于其它三种方式,配置类似,可以参考2中定义的web.xml文件

 

公司的老系统还会用这种认证方式。

如果给我开发的话,我会选择shiro安全框架。

转自:http://www.cnblogs.com/yan5lang/archive/2010/09/25/1834364.html

分享到:
评论

相关推荐

    web.xml配置文件详解

    ### web.xml配置文件详解 #### 一、概述 ...正确地配置`web.xml`不仅可以帮助我们更好地组织和管理Web应用,还能显著提高开发效率和维护性。因此,深入理解每个配置项的作用及其应用场景是非常重要的。

    WEB-INF中的web.xml中之前增加以下配置:

    也可以在web工程的webcontent/web-inf目录下建立context.xml文件,这样避免了两次去更改server.xml配置,也可使不同工程使用不同context配置,这是Tomcat6提倡的方法。 六、依赖jar文件 将以下几个jar文件复制到...

    tomcat6 server.xml 详解

    Realm负责认证和授权,例如,MemoryRealm使用内存中的用户和角色信息,UserDatabaseRealm从XML文件加载用户信息。 理解并掌握server.xml的配置对于优化Tomcat的性能、扩展功能以及解决部署问题至关重要。开发者...

    web.xml配置详细介绍(CHM)

    `web.xml`是Servlet容器(如Tomcat、Jetty等)启动时读取的配置文件,用于指导服务器如何处理Web应用中的请求和资源。通过这个文件,你可以设置初始化参数、映射Servlet、配置过滤器、声明安全约束等。 2. **基本...

    Tomcat web.xml,server.xml中详细配置说明文档

    在Java Web开发中,Tomcat是一个非常常见的应用服务器,它基于Apache软件基金会的Jakarta项目。本文档将深入探讨Tomcat中的两个...在实际开发中,应根据项目规模和需求选择合适的配置选项,以确保服务器性能和安全性。

    Web.xml常用元素

    ### Web.xml常用元素详解 `Web.xml`是Java Web应用程序中的核心配置文件,它用于配置应用程序的上下文信息、servlet映射、过滤器、监听器等...理解和掌握这些元素的使用,对于构建高效、安全的Web应用程序至关重要。

    web.xml sample

    这个`web.xml`示例展示了如何通过XML配置来定制Java Web应用的行为,包括处理请求、错误处理、会话管理、安全控制等多个方面,是学习和理解SCWCD(Sun Certified Web Component Developer)认证的重要内容。...

    web.xml配置文件详解[文].pdf

    12. `&lt;security-role&gt;`: 定义Web应用的安全角色,这些角色可以在`tomcat-users.xml`中分配给用户。 13. `&lt;login-config&gt;`: 配置Web应用的认证机制,如`BASIC`或`DIGEST`认证。`&lt;auth-method&gt;`指定使用的认证方法。 ...

    web.xml元素详解

    ### web.xml元素详解 ...以上是`web.xml`文件中主要元素的详细介绍,它们共同作用,为Web应用的部署和运行提供了全面的配置框架。正确理解并合理利用这些元素,对于构建稳定、高效、安全的Web应用至关重要。

    Tomcat中web.xml文件的详细说明

    总的来说,`web.xml`文件是Tomcat管理和配置Web应用程序的核心工具,通过它我们可以精确控制应用的行为,实现过滤、路由、安全策略和初始化参数等一系列高级功能。理解并熟练掌握`web.xml`的配置,对于开发和维护...

    用web.xml控制Web应用的行为

    在开发Java Web应用程序时,`web.xml`是一个关键配置文件,它定义了Web应用的行为和结构。本篇文章将深入探讨如何使用`web.xml`来控制Web应用的各种特性。 1. **定义头和根元素** `web.xml`文件通常以`&lt;web-app&gt;`...

    tomcatserver.xml配置详解.pdf

    server.xml是Tomcat中的核心配置文件,负责配置整个服务器的运行参数和连接器信息。下面将对Tomcat server.xml中可能包含的配置知识点进行详细说明: 1. &lt;Server&gt; 标签:这是Tomcat顶层的容器,用于构建整个Tomcat...

    tomcat 8.5.100

    - **server.xml**:这是Tomcat的主要配置文件,包含了关于连接器、监听器、 Realm(认证)和其他服务器设置的信息。 - **web.xml**:每个Web应用都有一个web.xml,用于定义Servlet、过滤器和监听器等。 - **...

    web.xml配置详解

    在Java Web开发中,`web.xml`是Servlet容器(如Tomcat)用来解析和配置Web应用程序的核心文件,它被称为部署描述符。这个文件采用XML格式,包含了关于servlet、JSP应用的诸多配置信息,如servlet的注册、URL映射、...

    tomcat7.0.109下载

    6. **安全管理**:Tomcat提供了基于角色的访问控制(RBAC),可以在`conf/tomcat-users.xml`文件中定义用户和角色,通过`&lt;Realm&gt;`元素配置认证方式。 7. **JNDI资源**:Tomcat支持JNDI(Java Naming and Directory ...

    Tomcat-and-Java-Web.zip_tomcat

    Tomcat的配置文件如`server.xml`、`context.xml`和`web.xml`对于管理Web应用程序的运行环境至关重要。你需要知道如何修改这些配置以满足特定的需求,例如设置端口号、调整内存分配、添加虚拟主机等。 其次,书中会...

    Apache Geronimo配置文件geronimo-web.xml各个标签的讲解

    虽然`geronimo-web.xml`是可选的,但在某些情况下,如需进行更详细的配置或定义特定服务器环境的设置时,这个文件就显得尤为重要。 ### Overview `geronimo-web.xml`的主要作用是将`web.xml`中声明的角色、EJB名、...

    Java.Web应用开发.J2EE和Tomcat第2版

    《Java.Web应用开发.J2EE和Tomcat第2版》这本书深入探讨了使用Java平台进行Web应用程序开发的技术和实践,特别是在J2EE(Java 2 Platform, Enterprise Edition)框架下结合Tomcat应用服务器的实现方法。以下是根据...

    tomcat7.0下载

    这个版本在前一版本的基础上进行了一系列的改进和优化,旨在提升性能、稳定性和安全性。Tomcat7.0引入了对Servlet 3.0、JSP 2.2和EL 2.2规范的支持,这些新特性极大地增强了开发者的工作效率和应用的灵活性。 ...

Global site tag (gtag.js) - Google Analytics