Java web的安全约束--Basic验证

最新推荐文章于 2021-03-11 02:34:31 发布
最新推荐文章于 2021-03-11 02:34:31 发布
阅读量176 收藏
点赞数
文章标签: java web.xml 数据库
原文链接:http://www.cnblogs.com/l1019/p/6921265.html
版权

要进行basic验证是用户名/口令机制,当浏览器要访问受保护的资源时,服务器会要求一个用户名和口令,只有输入了合法的用户名和口令。服务器才发送资源。用户名和口令可以存储在安全域中。安全域是标识一个Web应用程序的合法用户名和口令的“数据库”,其中还包含了与用户相关的角色。

例子:使用basic和MemoryRealm登录

    1、在tomcat下的/conf/tomcat-users.xml定义了角色和用户,还有一些角色

<tomcat-users xmlns="http://tomcat.apache.org/xml"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://tomcat.apache.org/xml tomcat-users.xsd"
version="1.0">
<user username="li" password="123456" roles="admin-gui,manager-gui" />
<role rolename="manager"/>
<user username="admin" password="123456" roles="manager"/>

</tomcat-user>

    2、在web.xml中定义如下:

 

<security-constraint>
<web-resource-collection>
<web-resource-name>adminResource</web-resource-name>
<url-pattern>/AccountServlet</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>
</web-resource-collection>
<auth-constraint>
<description>allManager</description>
<role-name>manager</role-name>
</auth-constraint>
<user-data-constraint>
<transport-guarantee>NONE</transport-guarantee>
</user-data-constraint>
</security-constraint>

<login-config>
<auth-method>BASIC</auth-method>
<realm-name>test</realm-name>
</login-config>



<security-role>
<role-name>manager</role-name>
</security-role>

其中<security-constraint>标签设置受保护的资源和可以访问的用户角色;

<login-config>是验证机制,访问受保护的资源,弹出的对话框不同,它的<realm-name>test</realm-name>;是弹出的对话框中显示的安全域的名

<security-role>是用来定义,使用的角色

这样就可对资源进行保护,在访问资源时,在弹出的对话框中输入之前定义的用户,密码就可以访问了

转载于:https://www.cnblogs.com/l1019/p/6921265.html

adolvv5562
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JavaWeb应用中的身份验证(声明式)——基于表单的身份认证
weixin_33704234的博客
06-07 476
容器管理安全最普遍的类型建立在基于表单的身份验证方式上。通过这样的方式,server自己主动将尚未验证的用户重定向到一个HTML表单。检查他们的username和password,决定他们属于哪个角色逻辑。并检查他们的角色是否有权限訪问正在申请的资源。接着,基于表单的验证使用会话跟踪技术跟踪已经通过的用户。 在声明式中,它具有下面的长处和缺点: 长处:登陆表单和站点其它...
Java Web 的 Security Constraint 配置
lyq123333321的专栏
12-30 4193
<br /><security-constraint> 的子元素 <http-method> 是可选的,如果没有 <http-method> 元素,这表示将禁止所有 HTTP 方法访问相应的资源。 <br /> 子元素 <auth-constraint> 需要和 <login-config> 相配合使用,但可以被单独使用。如果没有 <auth-constraint> 子元素,这表明任何身份的用户都可以访问相应的资源。也就是说,如果 <security-constraint> 中没有 <au
Weblogic 禁用不安全的http请求
热门推荐
linfanhehe的专栏
11-07 1万+
网上搜了好多禁用http请求的方法,都是介绍tomcat容器下的相关配置,但是把web项目放到weblogic容器下会报错,无论如何也启动不起来,费了一番功夫找到一篇文章,问题解决 初次使用Weblogic,因为之前是在Jboss或tomcat上部署的工程,运行正常,但是在weblogic上安装部署的时候,就出现了一个常见的问题:如下   意思是无法加载web
Spring Security Basic 认证
neweastsun的专栏
06-07 8089
Spring Security Basic 认证 本文介绍如何在spring security中搭建、配置、自定义Basic认证。读者需要在spring mvc 基础上进行配置测试。 Spring Security配置 使用java config方式配置如下: @Configuration @EnableWebSecurity public class CustomWebSecurit...
java security provide_java – 属性’security.basic.enabled’已弃用:安全自动配置不再可自定义...
weixin_39972777的博客
02-28 208
我正在使用spring-boot-starter-parent版本2.0.1.RELEASE开发Spring Cloud项目.我低于警告,看起来像Property ‘security.basic.enabled’ is Deprecated: The security auto-configuration is no longer customizable. Provide your own We...
用于验证用户权限的 actix-web 扩展
06-28
actix-web-grants用于验证用户权限的actix-web扩展。要检查用户对特定服务的访问权限,您可以使用内置的proc-macro 、PermissionGuard或手册。该库还可以与第三方解决方案(如actix-web-httpauth )actix-web-...
java-spring-basic-blog
03-08
java-spring-basic-blog
java-angular-basic
03-28
java-angular-basic
java-basic-:javaBasic
04-09
基本输入输出在线法官入门的第一步就是要了解:如何读取输入数据?如何输出答案? 在HackerEarth,从标准输入流(STDIN)读取输入数据,并将结果打印到标准输出流(STDOUT)。 大多数问题将处理整数或字符串。...
java---Basic.rar_java 解释
09-22
java实现的basic语言解释器
使用JAVA请求需要Basic身份验证的网页
我本善良
04-10 3169
这种认证有两种方式:BASIC和DIGEST,BASIC验证要求客户端对用户名和密码进行BASE64编码后传送给服务器。DIGEST的认证方式的细节比较复杂,会经过一系列的加密,所以很难被破译。   JAVA提供一个用于启用身份认证的类,可以支持HTTP协议中的多个认证方式,这个类是java.net.Authenticator,使用方法如下:   Java 代码   1.package co
http basic认证(Java client)
Hunter的专栏
06-21 1610
背景:客户端->服务端,客户端发送到服务端 basic认证:将用户名和密码经过base64加密后传到头部的Authorization字段(此时省去了第一次请求时返回401的处理,也可加上,但是直接传值也可行) CODE: public void basicAuth() { Map<String, String> headers = new HashMap<>(...
Http Basic 认证
緑水長流*z
11-11 1238
概述 当用户发送请求来到Http服务器进行Http Basic认证时,如果之前没有认证过,那么提示用户输入用户名和密码,如果正确,用户名和密码会经过base64编码后追加到请求头信息中再次请求服务器,服务器会根据请求头中携带的认证信息,来判断此次认证是否成功,此后,用户每次访问服务器的任何资源都会携带该请求头,不管资源是否受限 案例 下面我们通过代码来实现Http Basic认证 项目结构 配置...
java basic认证_使用JAVA请求需要Basic身份验证的接口
weixin_35336900的博客
02-16 1286
packagecom.lh.utils;importjava.io.IOException;importjava.net.URL;importorg.apache.http.HttpEntity;importorg.apache.http.HttpResponse;importorg.apache.http.auth.AuthScope;importorg.apache.http.auth.Use...
java basic验证_java如何请求BASIC认证的https协议
weixin_39716264的博客
02-13 327
/*** BASIC认证的https* @param urlStr https请求的地址* @return*/public static String get(String urlStr) {log.info("url-->" + urlStr);String rs = "";StringBuffer buffer = new StringBuffer();DefaultHttpClient...
java basic验证_java basic认证
weixin_30359591的博客
02-13 588
packagecom.http;importjava.io.BufferedReader;importjava.io.InputStream;importjava.io.InputStreamReader;importjava.net.Authenticator;importjava.net.PasswordAuthentication;...package com.http;import jav...
Java中,使用HTTP Basic进行验证
Jeremiah's Wikipedia
01-14 2653
 import java.net.Authenticator; import java.net.PasswordAuthentication; public class fanfouauth extends Authenticator { @Override protected PasswordAuthentication getPasswordAuthentication() { return new PasswordAuthentication("wangjixiao@gmail
java basic验证_Javaeye API的Http basic验证
weixin_39685024的博客
02-13 132
看到fins大牛写的JE talker以后,很有冲动自己也来写一下。我的UI设计还很差,还是先实现命令行的吧!我是采用HttpClient模拟get请求来获取数据,再用jsonlib解析数据。开始以为不难实现,不料开始就给我来了一个下马威!Http验证通不过,java eye api 验证采用的是HTTP Basic Access Authentication,最常用也是最简单的http验证。通...
java 域集成 basic,JAVA请求需要Basic身份验证的网页
weixin_33606346的博客
03-11 153
这种认证有两种体例:BASIC和DIGEST,BASIC验证要求客户端对用户名和密码进行BASE64编码后传送给处事器。DIGEST的认证体例的细节斗劲复杂,会经由一系列的加密,所以很难被破译。JAVA供给一个用于启用身份认证的类,可以撑持HTTP和谈中的多个认证体例,这个类是java.net.Authenticator,使用体例如下:1.package com.xixuyishi;2.3.imp...
Web Service安全(一)——Basic验证
最新发布
05-20
需要注意的是,Basic 验证并不是一种安全性很高的身份验证方式。因为它使用明文传输用户名和密码,所以容易被窃取。因此,在实际应用中,我们通常会使用更加安全的身份验证方式,比如 Digest 验证或 SSL/TLS 验证

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值