容器管理安全最普遍的类型建立在基于表单的身份验证方式上。

通过这样的方式,server自己主动将尚未验证的用户重定向到一个HTML表单。检查他们的username和password,决定他们属于哪个角色逻辑。并检查他们的角色是否有权限訪问正在申请的资源。接着,基于表单的验证使用会话跟踪技术跟踪已经通过的用户。

在声明式中,它具有下面的长处和缺点:

长处:登陆表单和站点其它网页有一致的页面

缺点:若client浏览器禁用了cookie或server可能配置为总是使用URL重写,会话跟踪就会失败。

过程例如以下:

(1)设置username、password和角色 --> 由web容器承担,这里使用tomcat7.0作为配置

这里有2种方式,一种是通过tomcat_dir/conf/tomcat-user.xml将角色将username、角色、password保存在配置文件。还有一种是通过JDBCRealm将信息配置到mysql数据库中,Realm相关知识可看 http://blog.csdn.net/big1980/article/details/8613051,主要通过 tomcat_dir/conf/ server.xml 进行配置选择

【配置1 tomcat-user.xml】

在server.xml(默认) 中

<Realm className="org.apache.catalina.realm.LockOutRealm">

<Realm className="org.apache.catalina.realm.UserDatabaseRealm"

               resourceName="UserDatabase"/>

</Realm>
</pre><pre name="code" class="html"> <GlobalNamingResources>

    <!-- Editable user database that can also be used by

         UserDatabaseRealm to authenticate users

    -->

    <Resource name="UserDatabase" auth="Container"

              type="org.apache.catalina.UserDatabase"

              description="User database that can be updated and saved"

              factory="org.apache.catalina.users.MemoryUserDatabaseFactory"

              pathname="conf/tomcat-users.xml" />

  </GlobalNamingResources>

在tomcat-user.xml中定义自己的角色用户和password

<?

xml version='1.0' encoding='utf-8'?

>

<tomcat-users>

  <role rolename="admin"/>

  <role rolename="visitor"/>

  <user username="web" password="xxxxxx" roles="visitor"/>

  <user username="raysor" password="xxxxxx" roles="admin"/>

</tomcat-users>

【配置2JDBCRealm】

<Realm  className="org.apache.catalina.realm.JDBCRealm" debug="99"

              driverName="com.mysql.jdbc.Driver"

              connectionURL="jdbc:mysql://localhost:3306/DBNAME"

              connectionName="name" connectionPassword="password"

              userTable="TABLE_NAME" userNameCol="COLUMN_NAME"

              userCredCol="COLUMN_Password"

              userRoleTable="ROLE_TABLE" roleNameCol="COLUMN_ROLE" />

当中:

driverName
驱动名字

connectionURL         数据库连接url

connectionName 连接的username

connectionPassword 连接的password

userTable                     用户表

userNameCol  username列

须要注意:tomcat-lib下是没有mysql的jar包需放入,并且貌似tomcat7開始已经不支持上面的写法。还好我看了tomcat8的wiki,假设这样写是url错误连不上,没有权限,得用

connectionURL="jdbc:mysql://localhost:3306/authorization?user=root&password=xxxxxx"

(2)指定login页面和login-failure页面的位置 web.xml

<login-config>

	<auth-method>FORM</auth-method>

	<form-login-config>

		<form-login-page>/login.jsp</form-login-page>

		<form-error-page>/login-error.html</form-error-page>

	</form-login-config>

</login-config>

(3)创建登陆页面login.jsp——表单中必须含有j_security_check的Action、method为POST,名称为j_username的文本字段和名为j_password的密码域

<FORM name="logonForm" method="post" action="j_security_check">

		<input name="j_username" type="text" /> <br/>

		<input name="j_password" type="password" /> <br/>

		<input type="submit" value="LOGIN" /><br/>

</FORM>

(4)创建登陆失败页面login-error.html

(5)指定哪些url须要password保护(相同在web.xml中)

<security-constraint>

	<web-resource-collection>

		<web-resource-name>Sensitive</web-resource-name>

		<url-pattern>/sensitive/*</url-pattern>

	</web-resource-collection>

	<auth-constraint>

		<role-name>administrator</role-name>

		<role-name>executive</role-name>

	</auth-constraint>

</security-constraint>

(6)列出全部可能的抽象角色(用户类型)——全部可能的抽象角色必须在web.xml列出来

<security-role>

     <role-name>administrator</role-name>

</security-role>

<security-role>

     <role-name>executive</role-name>

</security-role>

(7)指定哪些URL仅仅能通过SSL訪问(web.xml)

<security-constraint>

	<user-data-constraint>

		<!—使用CONFIDENTIAL意味着使用一种方式来传输-->

		<transport-guarantee>CONFIDENTIAL</ transport-guarantee >

	</user-data-constraint>

</security-constraint>

(8)关闭Invoker servlet---Tomcat 7实现的Servlet 3.0标准不再支持这个InvokerServlet类

JavaWeb应用中的身份验证(声明式)——基于表单的身份认证的更多相关文章

  1. 【FBA】SharePoint 2013自定义Providers在基于表单的身份验证(Forms-Based-Authentication)中的应用

    //http://www.cnblogs.com/OceanEyes/p/custom-provider-in-sharepoint-2013-fba-authentication.html 由于项目 ...

  2. [FBA]SharePoint 2013自定义Providers在基于表单的身份验证(Forms-Based-Authentication)中的应用

    //http://tech.ddvip.com/2014-05/1401197453210723.html 由于项目的需要,登录SharePoint Application的用户将从一个统一平台中获取 ...

  3. SharePoint 2013自定义Providers在基于表单的身份验证(Forms-Based-Authentication)中的应用

    由于项目的需要,登录SharePoint Application的用户将从一个统一平台中获取,而不是从Domain中获取,所以需要对SharePoint Application的身份验证(Claims ...

  4. SharePoint 2013 配置基于表单的身份认证

    前 言 这里简单介绍一下为SharePoint 2013 配置基于表单的身份认证,简单的说,就是用Net提供的工具创建数据库,然后配置SharePoint 管理中心.STS服务.Web应用程序的三处w ...

  5. 基于表单的身份验证(FBA)

    https://technet.microsoft.com/zh-cn/library/ee806890(office.15).aspx http://www.tuicool.com/articles ...

  6. ASP.NET MVC 4 (十三) 基于表单的身份验证

    在前面的章节中我们知道可以在MVC应用程序中使用[Authorize]特性来限制用户对某些网址(控制器/控制器方法)的访问,但这都是在对用户认证之后,而用户的认证则依然是使用ASP.NET平台的认证机 ...

  7. asp.net 如何配置authentication,完成基于表单的身份验证

    步骤一: 在根目录下的web.config中加入: <system.web> <authentication mode="Forms">           ...

  8. SharePoint 2013 基于表单 Membership 的身份验证

    其实关于SharePoint 2013 表单身份验证网上已经有很多了,比如SharePoint 2013自定义Providers在基于表单的身份验证(Forms-Based-Authenticatio ...

  9. 9、 Struts2验证(声明式验证、自定义验证器)

    1. 什么是Struts2 验证器 一个健壮的 web 应用程序必须确保用户输入是合法.有效的. Struts2 的输入验证 基于 XWork Validation Framework 的声明式验证: ...

随机推荐

  1. 轻快的vim(一):移动

    断断续续的使用VIM也一年了,会的始终都是那么几个命令,效率极低 前几个星期把Windows换成了Linux Mint,基本上也稳定了下来 就今晚,我已经下定决心开始新的VIM之旅,顺便写一系列的笔记 ...

  2. 0x5C 数位统计DP

    怎么说,数位DP还是我的噩梦啊,细节太恐怖了. 但是这章感觉又和之前的学的数位DP有差异?(应该是用DP预处理降低时间复杂度,好劲啊,不过以前都是记忆化搜索的应该不会差多少) poj3208 f[i] ...

  3. modelstate.isvalid false

    http://stackoverflow.com/questions/1791570/modelstate-isvalid-false-why 第一个 About "can it be th ...

  4. Linux&nbsp;Oracle服务启动&amp;停止脚本与开机自启动

    在CentOS 6.3下安装完Oracle 10g R2,重开机之后,你会发现Oracle没有自行启动,这是正常的,因为在Linux下安装Oracle的确不会自行启动,必须要自行设定相关参数,首先先介 ...

  5. [Java] Oracle的JDBC驱动的版本说明

    classes12.jar,ojdbc14.jar,ojdbc5.jar和ojdbc6.jar的区别,之间的差异 作者:赵磊 博客:http://elf8848.iteye.com 来源:http:/ ...

  6. 【Oracle】ORA-00054: resource busy and acquire with NOWAIT specified or timeout expired

    出现此错误的原因是因为事务等待造成的,找出等待的事务,kill即可. 下面是我当时遇到的错误: ---删除表t1时出现错误 SCOTT@GOOD> drop table t1; drop tab ...

  7. Struts2学习笔记 - Part.01

    1.关于Struts2中的struts.xml文件中action设置 <!-- 它是一个通用action,此处的*表明它可以处理任意的请求--> <action name=" ...

  8. wp7图片上传服务器

    做一个wp7手机上传图片到服务器的功能,具体丝路是在手机端做一个照相或者选择图片的功能,点击上传,在服务器端做一个一般处理程序,接受上传的文件,存入文件夹,下面是主要代码: 手机端代码: /// &l ...

  9. 使用meta实现页面的定时刷新或跳转

    <meta http-equiv="refresh" content="5"> 这个表示当前页面每5秒钟刷一下,刷一下~ <meta http ...

  10. facebook atc弱网环境搭建和踩坑总结

    facebook atc介绍 Augmented Traffic Control(又名atc)是一种模拟网络状况的工具.由facebook开源,是一个允许开发人员控制设备与互联网连接的项目.atc可以 ...