摘自:http://caopeng.blog.违规广告.com/252164/46794
通常对于一般的web应用程序,都是自己写验证,输入用户名和密码,然后到数据库去验证,然后返回。但是对于安全性要求较高的应用,自己写的安全验证则会出现许多没考虑到的地方,这时应该使用安全框架。
我使用的是struts框架,服务器是weblogic8.14,配置了基于FORM的验证方式,具体配置如下:
1、目录结构:根目录文件:index.jsp,login.html,error.jsp
admin目录:存放系统模块业务页面的路径
pages目录:存放公用页面的路径
2、login.html:
ttp://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
http://www.w3.org/1999/xhtml">
body{
margin:0;
font-size:12px;
height:100%;
}
#content {
position:absolute;
left:58%;
top:42%;
width:190px;
height:104px;
z-index:1;
}
.int{
width:120px;
height:13px;
border:#c0c0c0 1px solid;
}
.btn{padding-top:2px;}
http://www.w3.org/1999/xhtml">
body{
margin:0;
font-size:12px;
height:100%;
}
#content {
position:absolute;
left:58%;
top:42%;
width:190px;
height:104px;
z-index:1;
}
.int{
width:120px;
height:13px;
border:#c0c0c0 1px solid;
}
.btn{padding-top:2px;}
用户id: | j_username" id="j_username" class="int"/> |
密码: | j_password" id="j_password" class="int"/> |
|
需要注意的是这里的用户名,密码和提交页面必须固定为j_username,j_password,j_security_check见文件的反显部分。
3、error.jsp
error
Login error!
4、在web.xml里配置要保护的资源
admin
/admin/*
PUT
GET
pages
/pages/*
PUT
GET
indexservlet
/indexservlet
PUT
GET
index
/index.jsp
PUT
GET
mgr
NONE
这里我配置了对admin目录、index.jsp、indexservlet的保护,只允许mgr角色可以访问,注意不要对error.jsp也保护了,否则会导致登陆失败时达不到错误页面。
5、配置角色:
mgr是这样配置的:
在web.xml里加入:
mgr
在weblogic.xml里加入角色映射:
mgr
admin
该段表示将weblogic服务器里配置的admin用户映射为这里的mgr角色。
6、配置验证方式:
在web.xml里加入
FORM
/login.html
/error.jsp
现在,打包发布你的程序,输入任何保护的资源,在未验证的情况下就会跳转到登陆页面了,从而完成对资源的保护。
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/12928228/viewspace-438713/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/12928228/viewspace-438713/