在做web项目时由于想给webRoot下的jsp文件进行安全保护,控制不允许直接对jsp的访问,于是找到了tomcat的安全认证机制,只需要在web.xml中进行一定的配置即可,非常方便。
1.因为使用了SpringMVC,这里先给出SpringMVC配置文件中的视图解析器配置
<bean class="org.springframework.web.servlet.view.InternalResourceViewResolver">
<!-- 这里的配置我的理解是自动给后面action的方法return的字符串加上前缀和后缀,变成一个 可用的url地址 -->
<!--<property name="prefix" value="/WEB-INF/jsp/" />-->
<property name="prefix" value="/views" />
<property name="suffix" value=".jsp" />
<!-- InternalResourceViewResolver需要最低的优先级(最大order值) -->
<property name="order" value="2" />
</bean>
2.然后去配置security-constraint,因为tomcat安全认证有四种类型,我这里使用了BASIC
<security-constraint>
<display-name>interceptor-jsp</display-name>
<web-resource-collection>
<web-resource-name>JSPs</web-resource-name>
<url-pattern>/views/resource/*</url-pattern><!-- 拒绝直接访问web文件夹下的所有页面 -->
</web-resource-collection>
<auth-constraint/>
</security-constraint>
<!-- 四种认证类型 -->
<!-- BASIC:HTTP规范,Base64 -->
<login-config>
<auth-method>BASIC</auth-method>
</login-config>
下面是四种类型的安全认证的介绍:
<!-- 四种认证类型 -->
<!-- BASIC:HTTP规范,Base64 这种方式被认为是最不安全的认证,因为它没有提供强烈的加密措施 -->
<login-config>
<auth-method>BASIC</auth-method>
</login-config>
<!-- DIGEST:HTTP规范,数据完整性强一些,但不是SSL 相比于BASIC认证,它是种比较安全的认证,它在认证时将请求数据 通过MD5的加密方式进行认证 -->
<login-config>
<auth-method>DIGEST</auth-method>
</login-config>
<!-- CLIENT-CERT:J2EE规范,数据完整性很强,公共钥匙(PKC) 这是一种基于客户端证书的认证方式,比较安全。但缺陷是在没有安全证书的客户端无法使用 -->
<login-config>
<auth-method>CLIENT-CERT</auth-method>
</login-config>
<!-- FORM:J2EE规范,数据完整性非常弱,没有加密,允许有定制的登录界面 这是种基础自定义表单的认证,你可以指定登录时的验证表单 -->
<login-config>
<auth-method>FORM</auth-method>
<form-login-config>
<form-login-page>/login.html</form-login-page>
<form-error-page>/error.jsp</form-error-page>
</form-login-config>
</login-config>
3.主要的目录结构
对resource文件夹下的文件进行了安全保护,test.jsp通过后台Controller跳转,jsResource.jsp直接访问,结果如下
4.运行结果