Tomcat自带权限认证

最新推荐文章于 2021-03-20 12:37:54 发布
最新推荐文章于 2021-03-20 12:37:54 发布
阅读量321 收藏
点赞数
文章标签: java 数据库 web.xml
原文链接:https://my.oschina.net/ccdvote/blog/68213
版权

       平时课堂上的方法都是用户输入账号密码然后到数据库中去匹配,整个过程都是我们自己写代码去完成的。但是servlet容器例如tomcat本身就带了这种认证的功能,而且很强大,甚至能控制到每个类每个方法。下面我们讨论一下最常用的基于Form表单的认证方式。

一、建立数据库,以 mysql 数据库为例:

CREATE DATABASE DEMO

二、建立表,表一共有三个,一个是用户表 userinfo,保存用户名和密码;一个是权限userrole,表保存权限角色;还有一个是用户和权限对照的表user_roles; 
CREATE TABLE `userinfo` (
  `username` varchar(45) NOT NULL,
  `password` varchar(45) NOT NULL,
  UNIQUE KEY `username_UNIQUE` (`username`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

CREATE TABLE `userrole` (
  `role` varchar(20) NOT NULL,
  UNIQUE KEY `iduserrole_UNIQUE` (`role`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
CREATE TABLE `user_roles` (
  `username` varchar(45) NOT NULL,
  `role` varchar(20) NOT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8

三、向表中插入数据

INSERT INTO `userinfo` VALUES ('user1','password1');
INSERT INTO `userrole` VALUES ('admin');
INSERT INTO `user_roles` VALUES ('user1','admin');

四、新建一个web工程 创建web工程

五、配置tomcat配置文件server.xml

在 <GlobalNamingResources></GlobalNamingResources>标记之间加入如下代码:

<Resource auth="Container" 
    description="User database that can be updated and saved" 
    factory="org.apache.catalina.users.MemoryUserDatabaseFactory" 
    name="UserDatabase" pathname="conf/tomcat-users.xml"
    type="org.apache.catalina.UserDatabase"/>
<Resource auth="Container" 
    driverClassName="com.mysql.jdbc.Driver" 
    type="javax.sql.DataSource"
    maxActive="4"
    name="jdbc/demo" 
    password="数据库密码" 
    url="jdbc:mysql://localhost:3306/demo" 
    username="root" 
    validationQuery="select 1 from userinfo"/>

在  <Engine defaultHost="localhost" name="Catalina"></Engine>标记之间加入如下代码:

<Realm className="org.apache.catalina.realm.LockOutRealm">
    <Realm className="org.apache.catalina.realm.DataSourceRealm"
    dataSourceName="jdbc/demo" 
    roleNameCol="ROLE" 
    userCredCol="PASSWORD" 
    userNameCol="USERNAME" 
    userRoleTable="USER_ROLES" 
    userTable="USERINFO"/>
</Realm>

 六、配置web.xml,描述需要保护的资源,以及需求的权限:

 

<security-constraint>
  	<web-resource-collection>
  		<web-resource-name>Protected Area</web-resource-name>
  		<url-pattern>/*</url-pattern>
  		<http-method>DELETE</http-method>
  		<http-method>GET</http-method>
  		<http-method>POST</http-method>
  		<http-method>PUT</http-method>
  	</web-resource-collection>
  	<auth-constraint>
  		<role-name>admin</role-name>
  	</auth-constraint>
  	<user-data-constraint>
  		<transport-guarantee>NONE</transport-guarantee>
  	</user-data-constraint>
  </security-constraint>
  
    <login-config>
    <auth-method>FORM</auth-method>
    <form-login-config>
      <form-login-page>/login.jsp</form-login-page>
      <form-error-page>/error.jsp</form-error-page>
    </form-login-config>
  </login-config>
  <resource-ref>
    <description>MySQL DB Connection Pool</description>
    <res-ref-name>jdbc/demo</res-ref-name>
    <res-type>javax.sql.DataSource</res-type>
    <res-auth>Container</res-auth>
    <res-sharing-scope>Shareable</res-sharing-scope>
  </resource-ref>

 七、建立登陆界面login.jsp(根据上面<form-login-page>中的配置)

<form action="j_security_check">
用户名<input name="j_username" id="j_username" type="text" />
密码<input name="j_password" id="j_password" type="password"/>
<input type="submit"   value="登录" />
</form>

注意:form标签的action值必须为j_security_check,同样用户名的name属性值必须为j_username,密码的name属性必须为j_password

八、建立登陆失败界面error.jsp

ERROR

页面随便写一些登陆失败的提示即可。

九、启动tomcat服务器

十、测试:

在浏览器输入http://localhost:8080/demo/index.html

这时就会跳转到登陆界面login.jsp,输入用户名和密码后tomcat会根据server.xml配置文件中指定的表和列去进行认证,认证成功即用户名、密码、权限均正确则返回用户请求的资源,例如上面的地址请求的index.html。如果用户名、密码、权限有一个不正确则不能认证成功。

十一、备注:

tomcat的认证十分强大,除包含Form表单的认证方式之外还包含智能卡等认证方式,通过对web.xml的配置可以精确的限制各种资源的访问权限。如果读者有兴许可以继续深入探索

 

 

 

转载于:https://my.oschina.net/ccdvote/blog/68213

chijie0732
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tornado--用户权限装饰器
小新的博客
07-19 1829
base.py 用户权限装饰器 def user_roles(method): @functools.wraps(method) def wrapper(self, *args, **kwargs): roles = self.get_current_user_roles() flag = False not_check_u...
Tomcat 基本认证
weixin_33769207的博客
12-21 264
像Apache一样,tomcat同样也可以对网站目录下的文件进行相应的认证操作;BASIC验证是一种常见的验证,这种验证的安全度不高,它的验证不同于表单类的验证,做法也很简单,主要用于Web方面的验证.如下详细介绍BASIC的验证.BASIC验证是一种常见的验证,这种验证的安全度不高,它的验证不同于表单类的验证,做法也很简单,主要用于Web方面的验证.如下详细介绍BASIC...
tomcat 权限认证实现的过程
weixin_33711647的博客
07-05 558
为什么80%的码农都做不了架构师?>>> ...
tomcat配置数字证书
曾今拼命的想,现在却拼命的忘
09-21 2232
一、创建证书               用JDK自带的keytool工具生成证书: 命令:keytool -genkey -alias wsria -keyalg RSA -keystore d:/keys/wsriakey 无图不给力,有图有真相: 用keytool生成证书 具体的输入项图片中都有说明,有一点我要解释一下;在输入完密码后提示输入域名是我输入
tomcat中配置安全认证
JAVA-JS资源共享、技术交流平台
03-19 1485
Tomcat -- 安全认证 About 做过WEB项目的都知道,一但涉及用户,我们不得不为用户登录写一堆繁杂的验证代码。当然Spring AOP的诞生为我们的权限管理提供了不少的便利。甚至你也以用自己写的Filter(过滤器)来对你的程序进行登录时的验证。今天在这里和大家分享一种更为简便的方法,它就是Java Web的安全验证机制。       这种机制是对立地WEB的容器之上的,如
动态权限
stone_tomcate的博客
09-29 531
动态权限 实现思路 每次路由跳转都判断用户是否登录,登录了才会进行后续操作,否则直接跳到登录页面 浏览器中已经保存了用户登录信息,但是请求进入的页面是登录页面,直接进入到首页,实现免登录的功能 判断vuex中是否存在路由配置信息,如果存在直接放行,否则进行下一步操作。 如果vuex中不存在路由配置信息,就需要去后台请求当前用户对应角色的权限信息,根据权限信息生成可访问的路由表,并...
【原】HTTP 验证 Tomcat中进行基本验证 (Basic Authentication) 和摘要验证 (Digest Authentication)...
我是程序员,为了最后的阵地
09-11 506
HTTP 验证HTTP 协议提供验证机制来保护资源。当一个请求要求取得受保护的资源时,网页服务器回应一个 401 Unauthorized error 错误码。这个回应包含一个指定了验证方法和领域的 WWW-Authenticate 头信息。把这个领域想像成一个存储着用户名和密码的数据库,它将被用来标识受保护资源的有效的用户。比如,你试着去访问某个网站上标识为“Personal Files”的资...
J2EE安全策略:为tomcat页面设置访问权限[转]
ruowu的专栏
09-29 203
转: http://www.blogjava.net/asktalk/archive/2005/07/23/8221.aspx   在web应用中,对页面的访问控制通常通过程序来控制,流程为:登录 -&gt; 设置session -&gt; 访问受限页面时检查session是否存在,如果不存在,禁止访问 对于较小型的web应用,可以通过tomcat内置的访问控制机制来实现权限控制。采用这种...
通用权限管理系统组件 中实现统一身份认证(Single Sign On,单点登录)附源码
weixin_33726313的博客
05-09 391
通用权限管理系统组件 (GPM - General Permissions Manager) 中实现统一身份认证(Single Sign On,单点登录)附源码 其实很多开发人员都早已经进入.NET时代了,更有不少都在ASP.NET MVC了,但是去年碰到一个客户还在用很古老的asp系统,而且有接近10来个各种应用系统都是用ASP开发的,这样一来想升级到C# ASP.NE...
Tomcat容器管理安全的几种验证方式
weixin_34337381的博客
05-21 279
为什么80%的码农都做不了架构师?>>> ...
Tornado角色权限控制插件tor_access.zip
07-19
Python Tornado 的角色权限控件第三方插件。 支持:自动收集权限节点节点分组管理角色及超管角色示例代码:import tor_access @tor_access.needcheck(url=True) class IndexHandler(tornado.web.RequestHandler):     def get(self):         pass aclgroup = tor_access.ACLGroupNode('userdemo',u'系统管理') @tor_access.needcheck(url=True, group=aclgroup) class UserHandler(tornado.web.RequestHandler):     def get(self):         pass @tor_access.needcheck(url=True, category='categroyname') class UserInfoHandler(tornado.web.RequestHandler):     def get(self):         pass 标签:toraccess  安全相关框架
kafka 增加权限认证配置
LeonTom的博客
09-14 8247
一、 版本说明:      zookeeper版本无要求,kafka必须使用0.9 以后的版本      本例使用:zookeeper-3.4.10,kafka_2.11-1.0.0      安装链接:Linux下kafka安装和zookeeper环境搭配 二、 zookeeper配置     2.1  切换至 /usr/zookeeper/zookeeper-3.4.10/conf/ 下  ...
tomcat用户权限
06-06 1803
找到conf/tomcat-users.xml文件,打开  和之间添加 tomcat用户就具有访问manager的角色和权限
Tornado----基础知识
似水灬流年的博客
03-10 227
1.Tornado简介 Tornado是一种轻量级 Web 服务器软件的开源版本。 Tornado 和主流Web 服务器框架(包括大多数 Python 的框架)有着明显的区别:它是非阻塞式服务器,而且速度相当快。 得利于其非阻塞的方式和对epoll的运用,Tornado 每秒可以处理数以千计的连接,因此 Tornado 是实时 Web 服务的一个 理想框架。 1.基础app文件 因为...
Tomcat全局/局部https访问配置方法【tomcat容器的配置文件web.xml中添加security-constraint】
热门推荐
Thinking
08-01 1万+
文章来源:
tomcat对于web.xml的security-constraint使用的处理机制
wjxbj的博客
02-19 1863
一.知识点         web.xml中&lt;security-constraint&gt; 的子元素 &lt;http-method&gt; 是可选的,如果没有 &lt;http-method&gt; 元素,这表示将禁止所有 HTTP 方法访问相应的资源。         子元素 &lt;auth-constraint&gt; 需要和 &lt;login-config&gt; 相配...
django 微信网页授权认证api
农村的我的专栏
09-07 1413
原文转载于:https://blog.csdn.net/zhplz123/article/details/82383523 微信网页授权认证 根据微信官方文档,网页授权需要四个步骤,  - 用户同意授权-获取code  - 通过code 获取网页授权access_token  - 通过code 获取网页授权access_token  - 刷新token  - 拉去用户信息scope为snsap...
tomcat配置用户权限
心之所向
12-30 8768
1、vi /etc/tomcat6/tomcat-user.xml 2、删除注释符 <!-- --> 3、增加账号 Tomcat 6 的配置:<tomcat-users> <role rolename="tomcat"/> /权限 <role rolename="role1"/> <role rolename="admin"/> <user username="tomc
Tomcat认证授权实现SSO
lost_wen的博客
02-23 2177
Tomcat认证授权实现SSO 本文档旨在说明如何采用Tomcat的Single Sign-On来为网站开启ldap认证,从而实现用户Login一次之后,可以访问同一Server上的不同Webapp。 一、       OpenLDAP安装配置 1.下载安装OpenLDAP for windows版本,默认安装即可 2.修改slapd.conf配置文件       补全include:
java 安全认证,tomcat 安全认证
weixin_35455175的博客
03-20 175
做过WEB项目的都知道,一但涉及用户,我们不得不为用户登录写一堆繁杂的验证代码。当然Spring AOP的诞生为我们的权限管理提供了不少的便利。甚至你也以用自己写的Filter(过滤器)来对你的程序进行登录时的验证。今天在这里和大家分享一种更为简便的方法,它就是Java Web的安全验证机制。这种机制是对立地WEB的容器之上的,如Tomcat,JBoss等,你只须在你应用中的web.xml文件中做...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值