- 浏览: 728314 次
- 性别:
- 来自: 天津
文章分类
- 全部博客 (442)
- 中间件 (20)
- hibernate (13)
- spring (20)
- 数据库 (78)
- struts (8)
- ibatis (4)
- 前端 (61)
- linux,windows (21)
- it大环境 (32)
- IDE工具 (36)
- 感悟 (6)
- java基础 (40)
- 经典面试题 (10)
- exception总结 (14)
- 软件设计 (8)
- 工具类应用及新技术 (48)
- php (2)
- 微信 (1)
- 设计模式 (2)
- 重构 (3)
- 管理 (2)
- 工作笔记 (1)
- jmx (1)
- 算法 (4)
- 多线程同步 (2)
- 代码管理工具 (5)
- 代码检测及测试 (2)
- 缓存服务 (1)
- SOA及ROA (5)
- groovy (1)
- 网络编程 (2)
- 大数据 (6)
最新评论
-
love398146779:
我当然不能全写上面了,这只是其中一部分https连接。
java 建立 https连接 -
yuenkin:
大哥,这是双向认证吗?
java 建立 https连接 -
issu:
例如以下代码能遍历字符串"Tom:M ...
<c:forTokens>标签delims截取字符 -
love398146779:
2*3*5=30,是30个以上的请求才拒绝呀。
tomcat的maxThreads、acceptCount(最大线程数、最大排队数) -
love398146779:
2台跟1台一样的效果。
zookeeper与activemq最新存储replicatedLevelDB整合
做过WEB项目的都知道,一但涉及用户,我们不得不为用户登录写一堆繁杂的验证代码。当然Spring AOP的诞生为我们的权限管理提供了不少的便利。甚至你也以用自己写的Filter(过滤器)来对你的程序进行登录时的验证。今天在这里和大家分享一种更为简便的方法,它就是Java Web的安全验证机制。
这种机制是对立地WEB的容器之上的,如Tomcat,JBoss等,你只须在你应用中的web.xml文件中做一定的配置就可以完成一个简单的登录验证的功能。确切地说WEB安全验证机制不仅可以让我们完成登录的功能,它更侧重于安全两字。你可以把受保护的资源全部定义在你的资源集里面,这样用户只有在取得了合法的身份验证之后才可以访问,它可以保护 WEB的整个应用、某个子文件夹、甚至于特定的一类文件,这将取决于你对资源集的定义。
Tomcat容器支持以下四种认证方式:
1. BASIC认证:这种方式被认为是最不安全的认证,因为它没有提供强烈的加密措施。
<login-config>
<auth-method>BASIC</auth-method>
</login-config
2. DIGEST认证:相比于BASIC认证,它是种比较安全的认证,它在认证时将请求数据 通过MD5的加密方式进行认证。 <login-config>
<auth-method>DIGEST</auth-method>
</login-config>
3.FORM认证:这是种基础自定义表单的认证,你可以指定登录时的验证表单。
<login-config>
<auth-method>FORM</auth-method>
<form-login-config>
<!—创建登录表单 -->
<form-login-pages>/login.htm</form-login-pages>
<!—创建错误表单 -->
<form-error-pages>/error.html</form-error-pages>
</form-login-config>
</login-config>
以下是login.htm的内容:(注意form的action还有input元素的name,这些是固定的)
<form action="j_security_check" method="post">
Username<input type="text" name="j_username" /><br />
Password<input type="password" name="j_password" /><br />
<input type="submit" />
</form>
4.CLIENT-CERT认证:这是一种基于客户端证书的认证方式,比较安全。但缺陷是在没有安全证书的客户端无法使用。
<login-config>
<auth-method>CLIENT-CERT</auth-method>
</login-config>
下面介绍一下,配置认证的步骤:
1.定义角色:这些角色可以是TOMCAT的tomcat-user.xml文件中定义的默认角色及用户,也可以是自己创建的数据库角色与用户表。以下分别介绍:
1.1 基本TOMCAT已有用户及角色的认证配置:
tomcat-users.xml中的role元素
<tomcat-users>
<role rolename=”Admin”/>
<role rolename=”Manager”/>
<user username=”admin”password=”admin” role=”Admin, Manager”/>
</tomcat-users>
web.xml文件中的security-role元素
<security-role>
<!—该角色须在tomcat-users.xml定义过-->
<role-name>Admin</role-name>
</security-role>
1.2 基本自定义数据库用户表的认证配置:
如果你想基于自己定义的数据表进行认证,那你得在META-INF文件夹下创建一个名为 context.xml文件,配置如下内容:
<?xml version="1.0" encoding="UTF-8"?>
<Context path="/mycms">
<Realm className="org.apache.catalina.realm.JDBCRealm"
connectionName="root"
connectionPassword="123456"
connectionURL="jdbc:mysql://localhost:3306/mycms"
driverName="com.mysql.jdbc.Driver"
roleNameCol="rolename"
userCredCol="password"
userNameCol="username"
userRoleTable="mc_userroles"
userTable="mc_users"/>
</Context>
这里配置了数据库的连接信息以及指定了认证的用户表及角色表。
2 定义资源/方法约束
在web.xml文件中定义如元素:
<security-constraint>
<display-name>MyCMS</display-name>
<web-resource-collection>
<web-resource-name>Protected Area</web-resource-name>
<!-- Define the context-relative URL(s) to be protected -->
<url-pattern>/admin/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<!-- Anyone with one of the listed roles may access this area -->
<role-name>Admin</role-name>
</auth-constraint>
</security-constraint>
<!-- Login configuration uses form-based authentication -->
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>MyCMS</realm-name>
</login-config>
<!-- Security roles referenced by this web application -->
<security-role>
<description>
The role that is required to log in to the Administration Application
</description>
<role-name>Admin</role-name>
</security-role>
至此我们基本TOMCAT的安全认证配置就完成了。至于其它三种方式,配置类似,可以参考2中定义的web.xml文件
这种机制是对立地WEB的容器之上的,如Tomcat,JBoss等,你只须在你应用中的web.xml文件中做一定的配置就可以完成一个简单的登录验证的功能。确切地说WEB安全验证机制不仅可以让我们完成登录的功能,它更侧重于安全两字。你可以把受保护的资源全部定义在你的资源集里面,这样用户只有在取得了合法的身份验证之后才可以访问,它可以保护 WEB的整个应用、某个子文件夹、甚至于特定的一类文件,这将取决于你对资源集的定义。
Tomcat容器支持以下四种认证方式:
1. BASIC认证:这种方式被认为是最不安全的认证,因为它没有提供强烈的加密措施。
<login-config>
<auth-method>BASIC</auth-method>
</login-config
2. DIGEST认证:相比于BASIC认证,它是种比较安全的认证,它在认证时将请求数据 通过MD5的加密方式进行认证。 <login-config>
<auth-method>DIGEST</auth-method>
</login-config>
3.FORM认证:这是种基础自定义表单的认证,你可以指定登录时的验证表单。
<login-config>
<auth-method>FORM</auth-method>
<form-login-config>
<!—创建登录表单 -->
<form-login-pages>/login.htm</form-login-pages>
<!—创建错误表单 -->
<form-error-pages>/error.html</form-error-pages>
</form-login-config>
</login-config>
以下是login.htm的内容:(注意form的action还有input元素的name,这些是固定的)
<form action="j_security_check" method="post">
Username<input type="text" name="j_username" /><br />
Password<input type="password" name="j_password" /><br />
<input type="submit" />
</form>
4.CLIENT-CERT认证:这是一种基于客户端证书的认证方式,比较安全。但缺陷是在没有安全证书的客户端无法使用。
<login-config>
<auth-method>CLIENT-CERT</auth-method>
</login-config>
下面介绍一下,配置认证的步骤:
1.定义角色:这些角色可以是TOMCAT的tomcat-user.xml文件中定义的默认角色及用户,也可以是自己创建的数据库角色与用户表。以下分别介绍:
1.1 基本TOMCAT已有用户及角色的认证配置:
tomcat-users.xml中的role元素
<tomcat-users>
<role rolename=”Admin”/>
<role rolename=”Manager”/>
<user username=”admin”password=”admin” role=”Admin, Manager”/>
</tomcat-users>
web.xml文件中的security-role元素
<security-role>
<!—该角色须在tomcat-users.xml定义过-->
<role-name>Admin</role-name>
</security-role>
1.2 基本自定义数据库用户表的认证配置:
如果你想基于自己定义的数据表进行认证,那你得在META-INF文件夹下创建一个名为 context.xml文件,配置如下内容:
<?xml version="1.0" encoding="UTF-8"?>
<Context path="/mycms">
<Realm className="org.apache.catalina.realm.JDBCRealm"
connectionName="root"
connectionPassword="123456"
connectionURL="jdbc:mysql://localhost:3306/mycms"
driverName="com.mysql.jdbc.Driver"
roleNameCol="rolename"
userCredCol="password"
userNameCol="username"
userRoleTable="mc_userroles"
userTable="mc_users"/>
</Context>
这里配置了数据库的连接信息以及指定了认证的用户表及角色表。
2 定义资源/方法约束
在web.xml文件中定义如元素:
<security-constraint>
<display-name>MyCMS</display-name>
<web-resource-collection>
<web-resource-name>Protected Area</web-resource-name>
<!-- Define the context-relative URL(s) to be protected -->
<url-pattern>/admin/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<!-- Anyone with one of the listed roles may access this area -->
<role-name>Admin</role-name>
</auth-constraint>
</security-constraint>
<!-- Login configuration uses form-based authentication -->
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>MyCMS</realm-name>
</login-config>
<!-- Security roles referenced by this web application -->
<security-role>
<description>
The role that is required to log in to the Administration Application
</description>
<role-name>Admin</role-name>
</security-role>
至此我们基本TOMCAT的安全认证配置就完成了。至于其它三种方式,配置类似,可以参考2中定义的web.xml文件
发表评论
-
websphere应用必看配置(spring jndi的配置)
2016-03-31 12:06 1029websphere配置困扰我好找时间,配置的不对,websph ... -
kafka java 生产消费程序示例
2015-10-28 15:37 2455自已测试通过的 import java.util. ... -
Eclipse下tomcat配置直接访问root
2014-12-22 17:28 697在tomcat C:\Program Files\Apach ... -
增加tomcat并发量
2014-12-19 11:46 897tomcat默认的连接是线程阻塞的,即protocol配置为& ... -
java.lang.IllegalStateException: Web app root system property already set to dif
2014-12-11 10:49 2862想在TOMCAT下边放多个项目应用,有时会报一些错,上面的错 ... -
设置Tomcat编码
2014-09-26 12:00 600<Connector port=&q ... -
zookeeper与activemq最新存储replicatedLevelDB整合
2014-08-01 19:57 7032测试环境:三台VM虚拟机centos6.4 64位 mini版 ... -
tomcat集群和负载均衡的实现(session同步
2014-07-15 16:20 594(一)环境说明 (1)服务器有4台,一台安装apache,三 ... -
java内存溢出详解
2013-07-08 17:46 672java内存溢出详解 一、常见的Java内存溢出有以下 ... -
又说tomcat内存配置
2013-07-08 17:20 982网上东西太多,有的可信,有的真信了,就吃大亏了。 只有自己的经 ... -
tomcat的maxThreads、acceptCount(最大线程数、最大排队数)
2012-11-27 15:06 10751tomcat 6的Connector配置如 ... -
tomcatl通过jspservlet引擎转jsp为java
2011-12-02 22:46 765是啊,选转把jsp转成java,再编译java为class,你 ... -
Tomcat性能调优方案
2011-11-12 12:17 743Tomcat性能调优方案 一、操作系统调优 对于操作系统优 ... -
tomcat假死
2011-08-26 15:18 4964有个JAVA WEB项目运行在 TOMCAT 5.5 + ... -
liunx配置tomcat6使用SSL
2011-04-02 19:30 1502配置tomcat6使用SSL 当用 ... -
linux下tomcat重启不了
2011-03-02 10:04 11341. 端口冲突 2. 日志问题使tomcat重启不了,第 ... -
weblogic重启
2011-03-01 11:26 114111,用户名密码登录。 2,切换到weblogic的bin目 ... -
tomcat开启后出错,总结
2011-02-22 15:26 811Error creating bean with name ' ... -
tomcat虚拟主机的配置方法
2010-12-24 13:53 1003tomcat虚拟主机的配置方法: 设置虚拟主机的目的: ...
相关推荐
<security-constraint> <web-resource-collection> <url-pattern>/*</url-pattern> <http-method>PUT</http-method> <http-method>DELETE</http-method> <http-method>HEAD</http-method> <http-method>...
这里`<param-value>*</param-value>`表示允许所有源访问,你可以根据需要替换为特定的源地址。其他参数如`allowed.methods`和`allowed.headers`定义了允许的HTTP方法和头部信息。 3. **重启Tomcat**:保存`web.xml...
<security-constraint> <display-name>sessiontestsecruityconstraint</display-name> <web-resource-collection> <web-resource-name>ProtectedArea</web-resource-name> <url-pattern>/admin/*</url-pattern> ...
`<security-constraint> <web-resource-collection> <web-resource-name>SSL</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>...
- **作用**:通过`<security-constraint>`元素定义了对特定URL模式的访问限制,只有属于`strutssample`角色的用户才能访问这些页面。`<login-config>`元素则指定了使用表单验证方法,并且指定了登录页面和错误页面...
2. **定义受保护的资源**:使用`<security-constraint>`元素定义哪些URL或资源需要认证才能访问。 3. **配置认证和授权**:使用`<login-config>`元素定义认证方法,然后使用`<security-role-ref>`元素将角色映射到...
这里的`<security-domain>`标签指定了一个JAAS(Java Authentication and Authorization Service)安全域,它关联了一个特定的登录模块,用于验证用户身份。 ##### 2. 配置 `web.xml` 文件 接下来,还需要配置同...
注意`<servlet>`和`<security-constraint>`元素的配置。具体如下: ```xml <?xml version="1.0" encoding="ISO-8859-1"?> <web-app xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi=...
2. **添加安全约束**:在`web.xml`中增加`<security-constraint>`元素来定义需要验证的资源。在这个例子中,通过`<url-pattern>`指定所有以`/services/*`开头的URL都必须经过验证。 3. **指定认证方式**:在`<login...
<security-constraint> <web-resource-collection> <web-resource-name>test</web-resource-name> <url-pattern>/*</url-pattern> <http-method>PUT</http-method> <http-method>DELETE</http-method> ...
<security-constraint> <web-resource-collection> <web-resource-name>securedapp</web-resource-name> <url-pattern>/*</url-pattern> <http-method>DELETE</http-method> <http-method>HEAD</http-method> ...
#### <security-constraint> - **作用**:指定哪些URL路径需要认证和授权,以及所使用的认证方式。 - **示例**: ```xml <security-constraint> <web-resource-collection> <web-resource-name>Secure Area</...
- 通过 `<security-constraint>` 元素配置安全约束。 - 可以定义哪些资源需要认证才能访问。 - 示例代码: ```xml <security-constraint> <web-resource-collection> <web-resource-name>Admin Pages</web-...
<security-constraint> <web-resource-collection> <web-resource-name>Solr</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <auth-constraint> <role-name>solr-admin</...
</security-constraint> ``` **3.2.9 配置安全验证登录界面** 登录界面配置示例: ```xml <login-config> <auth-method>BASIC</auth-method> <realm-name>My Realm</realm-name> </login-config> ``` **3.2.10...
</security-constraint> </Connector> ``` 3. **更改默认端口**:为了增加安全性,可以考虑更改Tomcat Manager默认使用的端口。 4. **测试登录**:启动Tomcat服务后,在浏览器中输入`...
一旦配置了用户和角色,你可以在Web应用的`web.xml`中定义受保护的URL模式,使用`<security-constraint>`和`<login-config>`元素: ```xml <security-constraint> <web-resource-collection> <web-resource-name>...
</security-constraint> ``` #### 19. `login-config`元素 `login-config`元素用于配置登录机制,包括认证方法和表单登录页。DTD定义如下: ```xml <!ELEMENT login-config (auth-method, form-login-config?)> ...
<security-constraint> <web-resource-collection> <url-pattern>/*</url-pattern> <http-method>PUT</http-method> <http-method>DELETE</http-method> <http-method>HEAD</http-method> <http-method>...