`

J2EE安全策略:为tomcat页面设置访问权限[转]

    博客分类:
  • java
TomcatWebSecurityJSPJ# 
阅读更多

转: http://www.blogjava.net/asktalk/archive/2005/07/23/8221.aspx

 

web应用中,对页面的访问控制通常通过程序来控制,流程为:
登录 -> 设置session -> 访问受限页面时检查session是否存在,如果不存在,禁止访问

对于较小型的web应用,可以通过tomcat内置的访问控制机制来实现权限控制。采用这种机制的好处是,程序中无需进行权限控制,完全通过对tomcat的配置即可完成访问控制。

为了在tomcat页面设置访问权限控制,在项目的WEB-INFO/web.xml文件中,进行如下设置:

其中,<url-pattern>中指定受限的url,可以使用通配符*,通常对整个目录进行访问权限控制。
<auth-constraint>中指定哪些角色可以访问<url-pattern>指定的url,在<role-name>中可以设置一个或多个角色名。

使用的角色名来自tomcat的配置文件${CATALINA_HOME}/conf/tomcat-users.xml

<login-config>中设置登录方式,<auth-method>的取值为BASICFORM。如果为BASIC,浏览器在需要登录时弹出一个登录窗口。如果为FORM方式,需要指定登录页面和登录失败时的提示信息显示页面。

使用FORM方式的配置样例如下:

其中的<form-login-page>指定登录页面url<form-error-page>指定登录失败时的提示页面url
登录页面中,formaction,以及其中的用户名和密码两个参数的名称,都应取固定的值。登录的后台处理程序为j_security_check;用户名和密码的参数名称分别为:j_usernamej_password
如下是登录页面(如:login.jsp)的一段示例代码:

分享到:
| response的 encodeUrl方法的使用[转]
评论
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

    j2EE权限管理项目

    9. **Spring Security**:虽然Spring Security不是J2EE标准的一部分,但它是一个广泛使用的安全框架,提供了比J2EE更强大和灵活的安全管理功能,包括访问控制、会话管理、密码策略和XSS防护等。 10. **AJAX和富...

    数据库文件 基于J2ee+tomcat+sql2005在线考试系统

    10. 数据备份与恢复:定期备份数据库,以防止数据丢失,同时设置应急恢复策略,以便在出现故障时能快速恢复服务。 以上就是基于J2EE+Tomcat+SQL Server 2005的在线考试系统的主要知识点,涵盖了Web开发、数据库管理...

    Tomcat服务器

    8. **安全配置**:Tomcat提供了安全管理器,允许配置访问控制、认证和授权策略,以保护部署的应用。例如,可以设置`tomcat-users.xml`来管理用户角色和权限。 9. **性能优化**:Tomcat可以通过调整各种配置参数来...

    j2ee课程设计(题目:资源下载)

    你需要配置Tomcat服务器,将Servlet映射到特定的URL,使得用户可以通过浏览器访问并触发下载。 接下来,涉及到JSP技术。JSP是用于创建动态网页的Java技术,它允许将HTML代码与Java代码混合编写。在资源下载的界面...

    J2EE写的博客系统

    配置好数据库连接、环境变量和应用服务器的部署设置后,用户可以通过Web浏览器访问并使用博客系统。 总结来说,这个"J2EE写的博客系统"是一个典型的多层Web应用,利用J2EE技术和SQL Server数据库来构建一个功能完善...

    毕业设计J2EE项目

    - 测试与评估:介绍测试策略,包括单元测试、集成测试和系统测试,以及性能、安全等方面的评估。 - 结论与展望:总结项目成果,指出可能的问题和改进方向,对未来应用进行展望。 通过这个J2EE毕业设计项目,学生...

    简述J2EE的核心技术

    1. **JDBC(Java Database Connectivity)**:JDBC是Java连接数据库的标准接口,它为访问各种不同类型的数据库提供了一个统一的路径,使得开发者无需关心具体数据库的细节,即可进行数据交互。 2. **JNDI(Java ...

    J2EE完整运行项目FRAME

    要运行这个项目,需要将WAR(Web Application Archive)文件部署到J2EE应用服务器上,然后配置相关的服务器设置,如数据源、安全策略等。 9. **测试与调试**: 项目可能包含了JUnit测试用例,用于单元测试,以及...

    j2ee项目,网上书店,登录系统,学生系统等那

    3. **登录系统**:登录系统是任何Web应用的基础安全组件,它验证用户的凭证并控制访问权限。在J2EE中,可以使用过滤器(Filter)实现身份验证,通过session管理用户会话。此外,还可以利用Spring Security等框架增强...

    J2EE WEB

    - J2EE安全配置的基本概念。 - config对象的作用和使用。 - **应用场景**: - 全局范围的数据共享。 - 安全策略的实施。 - 配置初始化参数。 - **重要性**: - application对象对于全局数据管理至关重要。 ...

    晾晾多年珍藏 J2EE探索者.chm

    7. **安全性和认证**:J2EE提供了安全模型,包括角色、权限、SSL/TLS加密等。书中可能涵盖如何设置用户身份验证和授权,保护敏感数据。 8. **设计模式**:在企业级开发中,设计模式是解决问题的常用策略。书中可能...

    Tomcat 5 Unleashed

    - **基本配置与安全**:介绍如何进行Tomcat的基本配置以及设置必要的安全措施,包括权限控制、加密通信等。 - **Web应用程序开发**:覆盖了从简单的Servlet到复杂的JSP 2.0页面的开发过程,还包括如何使用JSTL提高...

    Tomcat配置技巧大全

    - **限制访问**:在`web.xml`中定义安全约束,限制特定资源的访问权限。 5. **优化部署与热更新** - **使用Context元素**:在`server.xml`或`context.xml`中定义`Context`,实现应用的独立部署和更新。 - **...

    J2EE软件工程师内部培训资料

    - **创建视图**:教授如何创建视图来简化复杂的查询或者提供对敏感数据的安全访问。 - **创建索引**:讨论索引的重要性以及如何创建不同的索引类型以提高查询性能。 - **控制用户访问**:展示如何设置用户账户并授予...

    J2ee基础到精通

    学习J2EE的安全机制,如角色权限、SSL加密、会话管理等,以及性能优化技巧,如缓存策略、数据库索引、代码优化等,有助于构建稳定高效的系统。 9. **文档与解释** 提供的源码、PPT和HTML文件可以帮助深入理解J2EE...

    j2ee真人面试,真人笔记

    - 缓存策略、连接池管理、线程池设置、负载均衡和集群配置等提升应用性能的技巧。 13. **设计模式**: - 在Java EE开发中常见的设计模式,如单例、工厂、装饰器、代理、观察者等,以及它们在实际项目中的应用。 ...

    JIRA教程—用户使用指南

    - **系统缺省权限模型**:定义基本的访问控制策略。 #### 结语 本篇内容覆盖了JIRA的基础知识、安装配置、基本概念及其使用方法等多个方面,旨在为用户提供一个全面的JIRA使用指南。通过深入学习这些知识点,用户...

    人员动态管理系统技术实现文档.docx

    - **安全性**:通过权限控制和数据备份策略,防止病毒攻击,确保内部数据安全。 4. **开发环境**: - 操作系统:服务器端使用Windows 10。 - 开发工具:使用Idea进行开发,Navicat用于数据库管理,phpStudy和...

    基于Java的人事管理系统的设计与实现.docx

    - **安全性高**:采用多层次的安全控制策略,确保数据的安全性和系统的稳定性。 - **用户体验良好**:提供直观易用的用户界面,简化操作流程,提升用户体验。 #### 结论 基于Java的人事管理系统通过利用J2EE和JSP...

Magicbox
Global site tag (gtag.js) - Google Analytics