本文使用Tomcat容器自身的访问控制机制实现简单用户身份认证和访问授权。
认证授权
在tomcat-users.xml中配置系统内用户和角色。
<role rolename="admin"/>
<role rolename="assistant"/>
<role rolename="user"/>
<user username="user1" password="123456" roles="admin"/>
<user username="user2" password="123456" roles="assistant"/>
<user username="user3" password="123456" roles="assistant"/>
<user username="user4" password="123456" roles="user"/>
<user username="user5" password="123456" roles="user"/>
之后配置Web应用中web.xml,如下。
<security-constraint>
<display-name>Example Security Constraint</display-name>
<web-resource-collection>
<web-resource-name>My Test</web-resource-name>
<url-pattern>/pages/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>admin</role-name>
<role-name>assistant</role-name>
<role-name>user</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>FORM</auth-method>
<realm-name>Example Form-Based Authentication Area</realm-name>
<form-login-config>
<form-login-page>/pages/Login.jsp</form-login-page>
<form-error-page>/error.jsp</form-error-page>
</form-login-config>
</login-config>
<security-role>
<description> the role is administrator</description>
<role-name>role1</role-name>
</security-role>
<url-pattern>属性配置需要授权的URL,本文指定整个pages目录中的页面都需要认证授权。<auth-constraint>属性配置能够访问授权URL的角色,角色阈值限于之前配置的tomcat-users.xml。<login-config>属性配置登录相关,<auth-method>属性值配置为FORM,因为这里采用自己实现的Login页面和error登录失败显示页面。<form-login-page>指定登录页面为/pages/Login.jsp,<form-error-page>指定登录失败页面为/error.jsp。
Login.jsp页面中核心代码如下。
<form class="form-signin" method="post" name="Login" action="j_security_check">
<h2 class="form-signin-heading">请登陆</h2>
<div class="login-wrap">
<input class="form-control" type="text" name="j_username" placeholder="用户名" id="usrID">
<input class="form-control" type="password" name="j_password" placeholder="密码" id="usrPsw">
<label class="checkbox">
<input type="checkbox" value="remember-me">记住我
<span class="pull-right">
<a data-toggle="modal" href="#myModal">忘记密码?</a>
</span>
</label>
<button class="btn btn-lg btn-login btn-block" type="submit" style="margin-top:20px" onclick="setCookie()">登陆</button>
</div>
</form>
form的action处理程序固定为j_security_check,用户名、密码两个input组件的name属性固定为j_username和j_password。
注销
Tomcat内置的认证访问机制使用session保存用户的认证授权信息,用户注销功能只需置session会话无效,专门写了一个LogoutServlet。
import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
/**
* Servlet implementation class Logout
*/
@WebServlet("/logout")
public class LogoutServlet extends HttpServlet {
private static final long serialVersionUID = 1L;
/**
* @see HttpServlet#doGet(HttpServletRequest request, HttpServletResponse response)
*/
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
HttpSession session = request.getSession();
session.invalidate();
// request.logout();
response.sendRedirect("pages");
}
/**
* @see HttpServlet#doPost(HttpServletRequest request, HttpServletResponse response)
*/
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
// TODO Auto-generated method stub
}
}
设置session无效之后跳转到登录URL即可,正常页面中使用<a href="../logout">退出登陆</a>,整个显示像这样。
登录。
注销。
request.logout()方法使安全上下文无效,但是session会话仍然有效,理论上来说用户能够通过之前的URL继续访问应用。but,实际上不可以,因为当用户登出跳之后转到登录URL时,Tomcat容器已经新创建了一个session,保证之前的session已经无效,所以两种方法同样有效,之后开发最好就是一起用。
1070
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
