【JSP/SERVLET】Tomcat内置表单身份验证

最新推荐文章于 2023-03-22 18:08:56 发布
VIP文章 最新推荐文章于 2023-03-22 18:08:56 发布
阅读量2.5k 收藏
点赞数 1
分类专栏: web 文章标签: HTTP JSP Servlet FORM身份验证 tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/reliveIT/article/details/46516671
版权

一、概述

    前面是扯犊子的,JSP/SERVLET基于HTTP规范,提供了几种安全支持,BASIC、DIGEST、FORM、CLIENT-CERT,本文主要介绍一下FORM的安全支持开发,文末有一个小demo用于展示。

    因为FORM方式比较少用,因此本文介绍的原理点到即止,并没有特别特别深入,见谅。

    更多详情,请参见《JSP/SERVLET核心编程》(新浪微盘,您找PDF的天堂···)


二、详细

1. 原理简述

    FROM声明式安全基于表单验证。

    简述:用户想要访问某一个受保护的资源,如果用户未登路,则将用户导向一个特定格式的表单进行身份验证,验证通过则继续访问资源;验证不通过,则将用户导向一个提示页面。

    关键点:

    a. 对受保护资源进行配置。本例是基于URL进行限制保护,因此需要在web.xml中配置受保护的URL;

    b. 特定格式的表单写法。主要是三部分的固定写法,一是表单action必须为j_security_check,用户名输入input的name必须为j_username,用户密码的输入input的name必须为j_password;

    c. 只要用户登录成功,并且支持cookie(会话cookie,跟session搭一块干活的那个cookie:JSESSIONID),那么这个用户名和密码就会被保存到当前用户的session中,后续只要用户的会话cookie存在并且服务器session未过期,则一直验证通过,否则验证失败,更多原理,请往下看;

    FROM验证的安全性基于cookie/session机制的安全性,并且可以配置通过SSL传输,因此安全性还是比较高的,至少比BASIC的安全性高了不止一个等级。之前写的一个小demo,手动实现BASIC验证(不是基于JSP/SERVLET提供的封装了的BASIC,而是其底层原汁原味id实现):点击打开链接

    d. 局限性。用户的身份验证,是基于服务器提供的用户角色,以tomcat为例,所有基于FORM的用户安全验证,都是基于tomcat user的安全验证。也就是说,能够通过用户验证的用户配置,都是属于tomcat_

最低0.47元/天 解锁文章
扶我起来我还要写代码
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Flight-Booking-System-JavaServlets_App::airplane:基于使用Java Servlet,Java服务器页面(JSP)制成的Model View Controller(MVC)架构的土耳其航空公司的企业级航班预订系统(Web应用程序)。 此外,还实现了对用户的身份验证和授权。 该Web应用程序还可以防止SQL注入和跨站点脚本攻击
03-11
航空公司的机票预订系统(Java Web应用程序) 基于使用Java Servlet , Java Server Pages(JSP)制作的Model View Controller(MVC)架构的土耳其航空公司基于Web的完全响应式的航班预订系统。 此外,使用Tomcat角色实现对用户的身份验证和授权。 该Web应用程序还可以防止SQL注入和跨站点脚本攻击。 使用的技术 前端: HTML,CSS,JavaScript,Jquery,Bootstrap,Java服务器页面(JSP),AJAX(用于Flight Search窗口小部件) 后端: Java Servlet,Java模型 Web服务: SOAP Web服务(获取价格和座位数) 安全功能: SQL注入,跨站点脚本(XSS),Tomcat角色 的角色 实现了以下角色: 航空公司管理员 航空公司经理 顾客 工作流程(功能)
Servlet 身份验证体系结构
呜呼哈
04-05 275
SecurityContextHolder 在Spring Security的身份验证模型的核心是SecurityConextHolder。它包含SecurityContext。 SecurityContextHolder 是 Spring Security 存储被验证者的详细信息的地方。Spring Security 不关心 SecurityContextHolder 是如何填充的。如果它包含一个值,则将其用作当前经过身份验证的用户。 表明用户已通过身份验证的最简单方法是直接设置 SecurityCon
servlet 认证,授权
shizhan1881的专栏
07-27 1401
servlet安全分为四类:认证,授权,数据完整性,机密性。      有时候我们的某个网页,可能不允许所有人查看,如有些机密消息只有高级会员查看,这时候我们该如何处理?我们怎么判断访问网页的这个人就是本人,而不是其他人冒充的呢?     servlet中的认证和授权就能解决这个问题,认证就是验证是否是本人,验证是否是本人的方法就是能否输入正确的用户名和密码。授权就是用户账户和密码匹配后,查看
Servlet与Filter两种方式实现身份验证和访问控制
个人学习笔记库,一篇一篇记录成长的足迹
03-22 888
servlet和filter实现用户登陆验证
TomcatForm安全认证
404
10-18 905
最近使用Tomcat的安全认证发现了一些问题
Tomcat中采用基于表单的安全验证
weixin_34378922的博客
03-04 144
1、概述 (1)基于表单的验证 基于From的安全认证可以通过TomcatServer对Form表单中所提供的数据进行验证,基于表单的验证使系统开发者可以自定义用户的登陆页面和报错页面。这种验证方法与基本HTTP的验证方法的唯一区别就在于它可以根据用户的要求制定登陆和出错页面。 通过拦截并检查用户的请求,检查用户是否在应用系统中已经创建好login session。如果没...
TOMCAT下实现基于表单验证的登陆方式
阿牛博客
10-23 1244
TOMCAT下实现基于表单验证的登陆方式参考了网上的一些同仁的文章,作了伟大实践,成功了,感觉果然不错另外对密码作了些处理,如存在密文(MD5加密)在登陆页面时,提交数据之前,用JS,对用户输入的密码也进行MD5加密,再进行后台数据(密码也进行了MD5加密)匹配,如果匹配成功(密码密文匹配密文)在一定程序上,也可防止密码泄漏!因为MD5是单身加密,在网络上传输的密码也是密文!数据
tomcat启用 BASIC authentication,使用数据库身份认证,口令MD5加密
杨江的IT分享专栏
10-18 2994
=================================================================================== 准备数据库: 表名 users 列名 值 username user11 password 698d51a19d8a121ce581499d7b701668 是口令111的MD5 3
Tomcat认证授权与简单的SSO
weixin_34007879的博客
02-12 567
为什么80%的码农都做不了架构师?>>> ...
Java学习指南(6) 网站入门篇 JavaEE / Servlet
06-15
一、课程简介『Java学习指南系列』的第6篇教程,介绍JavaEE中的网站开发相关的技术 ( Servlet / JSP )。相关术语: Servlet | JSP | AJAX | RESTful | 文件上传 | HTTP GET | HTTP POST | URL Encode | 框架 | 抓...
ServletJSP核心编程第2版
10-18
第1章 servletjsp技术概述 1.1 servlet的功用 1.2 要动态构建网页的原因 1.3 servlet代码初探 1.4 servlet相对于“传统”cgi的优点 1.5 jsp的作用 第1部分 servlet技术 第2章 服务器的安装和配置 ...
健身俱乐部Web网站-JSP+Servlet+Hibernate+jQuery+Ajax
06-29
这是我做的第一个Web网站,前台页面主要利用JSP、jQuery(数据验证),部分页面用到Ajax。控制转发层采用Servlet,数据访问层采用Hibernate(bean和dao是由Hibernate逆向工程自动生成)。 系统采用分层架构,由上...
JSP Servlet 初学者教程 - 25 个步骤
最新发布
10-26
Step01.md:在 Tomcat 中启动并运行 Web 应用程序 Step02.md:第一个JSP Step03.md : 添加 GET 参数名称 Step04.md : 添加另一个获取参数密码 Step05.md:让我们添加一个表单 Step06.md:新建表单和doPost Step07.md...
HTTPhttp重定向301/302/303/307
热门推荐
厚积薄发者,轻舟万重山
03-04 2万+
一、概述 重定向常常和请求转发放在一起讨论(前者是两次不相关的请求,后者是一次请求服务器端转发),然而本文并不讨论两者的区别,而是HTTP 1.0规范和HTTP 1.规范1中关于重定向的区别,以及实际使用中的情况。 重定向实际使用是一个响应码(301或302或303或307)和一个响应头location,当浏览器收到响应的时候check响应码是3xx,则会取出响应头中locat
HTTPhttp 401Basic验证和WWW-Authenticate、Authorization
厚积薄发者,轻舟万重山
05-31 8256
http 401Basic验证和WWW-Authenticate、Authorization
JVM DNS IP地址缓存(InetAddress)
厚积薄发者,轻舟万重山
01-01 6026
JVM DNS IP地址缓存策略及修改,附送《DNS Caching in Java Virtual Machines》pdf文档
【Spring】Spring IOC原理及源码解析之scope=request、session
厚积薄发者,轻舟万重山
08-05 5905
附注: 一开始想把Spring整个IOC逻辑理出来,但是发现已经有写的比较好的文章,因此就决定不写了。 但是阅读之后发现web scope中的IOC过程并没有分析出来,因此文章后半部分针对scope=reqeust、scope=session进行了实现源码与原理的分析过程。 最后,本文如有错漏,烦请不吝指正,谢谢!
【WEB】url路径包含中文和表单get请求包含中文
厚积薄发者,轻舟万重山
04-07 5670
一、描述         URL路径包含中文和表单get方式请求包含中文是不一样的,前者是请求路径中包含了中文,而后者是URL中的查询字符串包含了中文。形如http://xx/oo/你好/index.jsp?kw=张三,其中url路径包含中文是指“http://xx/oo/你好/index.jsp”,而get方式请求包含种无奈则是指“kw=张三”。 二、url路径包含中文
idea使用jsp+servlet+tomcat完成学生管理系统
04-29
学生管理系统可以实现学生信息的录入、查询、修改和删除等功能,以及生成学生信息的报表等。...综上所述,通过使用JSPServletTomcat,可以快速而高效地实现学生管理系统,同时保证系统稳定和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值