开发 FORM 身份验证 Web 应用程序

最新推荐文章于 2024-11-04 09:11:09 发布
最新推荐文章于 2024-11-04 09:11:09 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: Weblogic Security 文章标签: web weblogic url html button jsp

 

将 FORM 身份验证用于 Web 应用程序时,将提供一个自定义登录屏幕(Web 浏览器在响应 Web 应用程序资源请求时显示)和一个错误屏幕(在登录失败时显示)。可以使用 HTML 页、JSP 或 Servlet 生成登录屏幕。基于表单登录的优点是:可以完全控制这些屏幕,因此可以将它们设计得满足应用程序或企业策略/准则的要求。

登录屏幕提示用户输入用户名和密码。图 3-4 所示为使用 JSP 生成的典型登录屏幕,而清单 3-5 所示则为源代码。

图 3-4 基于表单的登录屏幕 (login.jsp)

基于表单的登录屏幕 (login.jsp)

 

清单 3-5 基于表单的登录屏幕源代码 (login.jsp) 
<html>
  <head>)
    <title>Security WebApp login page</title>
  </head>
  <body bgcolor="#cccccc"> 
  <blockquote>
  <img src=BEA_Button_Final_web.gif align=right>
  <h2>Please enter your user name and password:</h2>
  <p>
  <form method="POST" action="j_security_check">
  <table border=1>
    <tr>
      <td>Username:</td>
      <td><input type="text" name="j_username"></td>
    </tr>
    <tr>
      <td>Password:</td>
      <td><input type="password" name="j_password"></td>
    </tr>
    <tr>
      <td colspan=2 align=right><input type=submit
                                     value="Submit"></td>
    </tr>
  </table>
  </form>
  </blockquote>
  </body>
</html>

图 3-5 所示为使用 HTML 生成的典型登录错误屏幕,而清单 3-6 所示则为源代码。

图 3-5 登录错误屏幕

登录错误屏幕

 

清单 3-6 登录错误屏幕源代码 
<html>
  <head>
    <title>Login failed</title>
  </head>
  <body bgcolor=#ffffff>
  <blockquote>
  <img src=/security/BEA_Button_Final_web.gif align=right>
  <h2>Sorry, your user name and password were not recognized.</h2>
  <p><b>
  <a href="/security/welcome.jsp">Return to welcome page</a> or 
           <a href="/security/logout.jsp">logout</a> 
  </b>
  </blockquote>
  </body>
</html>

要开发提供 FORM 身份验证的 Web 应用程序,请执行下列步骤:

  1. 创建 web.xml 部署描述符。请在该文件中包括以下信息(请参阅清单 3-7):
    1. 定义欢迎文件。欢迎文件的名称为 welcome.jsp
    2. 为计划要保护的每组 URL 资源定义安全约束。每组 URL 资源共享一个通用的 URL。通常,HTML 页、JSP 和 Servlet 等 URL 资源受最大的保护,但其他类型的 URL 资源也受支持。在清单 3-7 中,URL 模式指向 /admin/edit.jsp,从而保护位于 Web 应用程序的 admin 子目录中的 edit.jsp 文件;定义可以访问 URL 资源的 HTTP 方法 (GET);并定义安全角色名 admin
      注意:安全角色名称中不能包含连字符。在管理控制台中,无法修改含连字符的安全角色名称。另外,BEA 建议对安全角色名使用以下约定:它们应该独一无二。
    3. 定义要使用的身份验证类型以及将应用安全约束的安全领域。在本例中,指定了 FORM 类型,但未指定领域,因此,领域是默认领域,这意味着安全约束将应用到 WebLogic Server 实例启动时激活的安全领域。
    4. 定义一个或多个安全角色并将它们映射到安全约束。在我们的示例中,只在安全约束中定义了一个安全角色 admin,因此在此处只定义一个安全角色名称。但是,实际上可以定义任意数量的安全角色。
      清单 3-7 FORM 身份验证 web.xml 文件 
      <?xml version='1.0' encoding='UTF-8'?>
      <web-app xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
      <web-app>
          <welcome-file-list>
              <welcome-file>welcome.jsp</welcome-file>
          </welcome-file-list>
          <security-constraint>
              <web-resource-collection>
                  <web-resource-name>AdminPages</web-resource-name>
                  <description>
                      These pages are only accessible by authorized
                       administrators.
                  </description>
                  <url-pattern>/admin/edit.jsp</url-pattern>
                  <http-method>GET</http-method>
              </web-resource-collection>
              <auth-constraint>
                  <description>
                      These are the roles who have access.
                  </description>
                  <role-name>
                      admin
                  </role-name>
              </auth-constraint>
              <user-data-constraint>
                  <description>
                      This is how the user data must be transmitted.
                  </description>
                  <transport-guarantee>NONE</transport-guarantee>
              </user-data-constraint>
          </security-constraint>
          <login-config>
              <auth-method>FORM</auth-method>
              <form-login-config>
                  <form-login-page>/login.jsp</form-login-page>
                  <form-error-page>/fail_login.html</form-error-page>
              </form-login-config>
          </login-config>
          <security-role>
              <description>
                  An administrator
              </description>
              <role-name>
                  admin
              </role-name>
          </security-role>
      </web-app>
  2. 创建 weblogic.xml 部署描述符。在该文件中,将安全角色名称映射到用户和组。清单 3-8 给出了一个示例 weblogic.xml 文件,该文件将在 web.xml 文件的 <security-role> 标记中定义的 admin 安全角色映射到一个名为 supportGroup 的组。使用此配置时,WebLogic Server 将只允许 supportGroup 组中的用户访问受保护的 WebLogic 资源。但是,可以使用管理控制台来修改 Web 应用程序的安全角色,以便其他组可以访问受保护的 WebLogic 资源。
    清单 3-8 FORM 身份验证 weblogic.xml 文件 
    <?xml version='1.0' encoding='UTF-8'?>
    <weblogic-web-app xmlns="http://www.bea.com/ns/weblogic/90" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <weblogic-web-app>
         <security-role-assignment>
             <role-name>admin</role-name>
             <principal-name>supportGroup</principal-name>
         </security-role-assignment>
    </weblogic-web-app>
  3. 创建一个 Web 应用程序文件,该文件在用户通过输入 URL 请求受保护的 Web 应用程序资源时将生成欢迎屏幕。清单 3-9 显示了一个示例 welcome.jsp 文件。图 3-3 显示的是欢迎屏幕。
    清单 3-9 FORM 身份验证 welcome.jsp 文件 
    <html>
      <head>
        <title>Security login example</title>
      </head>
      <%
        String bgcolor;
        if ((bgcolor=(String)application.getAttribute("Background")) ==
            null)
        {
            bgcolor="#cccccc";
        }
      %>
      <body bgcolor=<%="/""+bgcolor+"/""%>> 
      <blockquote>
      <img src=BEA_Button_Final_web.gif align=right>
      <h1> Security Login Example </h1>
      <p> Welcome <%= request.getRemoteUser() %>! 
      <p> If you are an administrator, you can configure the background 
      color of the Web Application. 
      <br> <b><a href="admin/edit.jsp">Configure background</a></b>.
      <% if (request.getRemoteUser() != null) { %>
        <p> Click here to <a href="logout.jsp">logout</a>. 
      <% } %>    
      </blockquote>
      </body>
    </html>
注意:清单 3-3 中,请注意,JSP 将调用一个 API (request.getRemoteUser()) 来获取登录用户的用户名。可改用不同的 API weblogic.security.Security.getCurrentSubject()。要使用该 API 获取用户的名称,请将它与 SubjectUtils API 结合使用,如下所示:
String username = weblogic.security.SubjectUtils.getUsername(
                        weblogic.security.Security.getCurrentSubject());
  1. 启动 WebLogic Server,然后定义有权访问 URL 资源的用户和组。在 weblogic.xml 文件(请参阅清单 3-8)中,<role-name> 标记将 admin 定义为有权访问 edit.jsp 文件的组,并将用户 joe 定义为该组的成员。因此,请使用管理控制台定义 admin 组,定义用户 joe,并将 joe 添加到 admin 组中。也可以定义其他用户并将其添加到组中,这些用户也将有权访问受保护的 WebLogic 资源。有关添加用户和组的信息,请参阅“使用角色和策略确保 WebLogic 资源安全”中的用户、组和安全角色
  2. 部署 Web 应用程序并使用在上一步中定义的用户访问受保护的 Web 应用程序资源。
    1. 有关部署说明,请参阅部署 Web 应用程序
    2. 打开 Web 浏览器并输入以下 URL:

      http://hostname:7001/security/welcome.jsp

    3. 输入用户名和密码。即显示欢迎屏幕。 
feijianxia
关注
专栏目录
浏览者交互——表单标签
qq_36331871的博客
06-15 223
1.使用HTML表单(from)可以把浏览者输入的数据传送到服务器端,这样服务器端程序就可以处理表单传过来的数据。语法:&lt;form    name="表单名称"    method="传送方式"    action="服务器文件"&gt;    &lt;form&gt;:&lt;form&gt;标签是成对出现的,以&lt;form&gt;开始,以&lt;/form&amp
Web构建表单——form表单元素
Braveyjc的博客
12-27 947
HTML构建表单的基本结构、基本元素、表单的处理
Python学习 Day17 Form表单
ShengXIABai的博客
02-11 2149
(二)form表单 form表单:在web网页中收集用户填写的信息,从而使网页具有交互功能 一般是将表单设计在一个HTML文档中,当用户填写完信息后做提交(submit)操作,将表单信息传送到服务器进行处理后,再将用户所请求资源返回个客户端 所有用户输入的地方都使用表单来填写,如登录注册,搜索框 一个表单应包含:用户填写信息输入框,提交按钮等控件 <!DOCTYPE html> <html> <head> <meta charset="UTF-8"&g.
web作业练习2
weixin_68828873的博客
03-12 122
登录忘记密码记住密码
Spring Boot中集成Spring Security 专题
weixin_34082177的博客
10-24 417
  check to see if spring security is applied that the appropriate resources are permitted: @Configuration public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter { @Ov...
form:像Google Form这样的Web应用程序直接在Google表格中删除数据,而无需像Google Forms这样的第三方服务!
05-12
然而,描述中提到的是一种可能的新功能或技术,它允许Web应用程序直接在Google Sheets中处理表单数据,而无需通过Google Forms作为中介。这可能意味着开发者可以直接在网页上构建表单,用户提交后,数据会直接写入...
基于Spring Boot保护Web应用程序
08-24
通过添加依赖、创建Thymeleaf模板和配置Spring MVC,我们可以快速构建一个受保护的Web应用程序,并通过调整`WebSecurityConfigurerAdapter`实现自定义的身份验证和授权策略。这使得Spring Boot成为开发安全Web应用...
构建动态且交互Web应用程序:MATLAB Web应用开发,让你成为Web开发专家
[构建动态且交互Web应用程序:MATLAB Web应用开发,让你成为Web开发专家](https://picx.zhimg.com/80/v2-86abc322d09a66e41c7335fe0bf3798a_1440w.webp?source=1def8aca) # 1. MATLAB Web应用简介 MATLAB Web应用...
Java Web应用程序开发入门
Java Web应用程序开发概述 ## 1.1 什么是Java Web应用程序 Java Web应用程序是指基于Java技术开发的可以在Web服务器上运行的应用程序。它通常由后端业务逻辑、前端页面展示和数据库交互组成,能够通过浏览器访问。...
OWASP Web 安全测试指南-Web 应用程序安全测试
seanyang_的博客
12-04 671
本节介绍 OWASP Web 应用程序安全测试方法,并说明如何测试应用程序中由于已识别的安全控制缺陷而导致的漏洞证据。
JavaScript从入门到精通:Web页面信息交互
wangaihui813的专栏
12-21 1480
JavaScript从入门到精通:Web页面信息交互 http://tech.tom.com  2004年01月30日 10:03来源:赛迪网李晓华要实现动态交互,必须掌握有关窗体对象(Form)和框架对象(Frames)更为复杂的知识。一、窗体基础知识  窗体对象可以使设计人员能用窗体中不同的元素与客户机用户相交互,而用不着在之前首先进
c#winform使用WebBrowser 大全
热门推荐
徐的专栏
07-31 10万+
C# WinForm WebBrowser (一) MSDN资料  1、主要用途:使用户可以在窗体中导航网页。 2、注意:WebBrowser 控件会占用大量资源。使用完该控件后一定要调用 Dispose 方法,以便确保及时释放所有资源。必须在附加事件的同一线程上调用 Dispose 方法,该线程应始终是消息或用户界面 (UI) 线程。 3、WebBrowser 使用下面的成员可以将控件导航
Web前端开发基础 第三课(与浏览者交互
weixin_33735077的博客
07-16 194
来自慕课网,整理 语法: <form method="传送方式" action="服务器文件"> 讲解: 1.<form> :<form>标签是成对出现的,以<form>开始,以</form>结束。 2.action:浏览者输入的数据被传送到的地方,比如一个PHP页面(save.php)。 3.method:数据...
Spring Security 认证流程
qq_44131750的博客
04-17 1175
参考资料 官方指引 官方文档 白话让你理解什么是oAuth2协议 最简单易懂的Spring Security 身份认证流程讲解 Spring Security零基础入门之一 SpringSecurity+JWT认证流程解析 How Spring Security Authentication works - Java Brains(这个视频教程讲的超级详细!!!整个流程的理解可以看它) Spring Security 采用 AOP,基于 Servlet 过滤器实现的安全框架。它提供了完善的认证机构和授权功能
【Spring Security】入门篇-formLogin登录认证模式
qq_42980244的博客
08-14 3325
1.概述 spring security是能够在Web请求级别和方法调用级别处理身份验证(认证who are you?)和授权(批准what can you do?)的安全框架 spring security从两个角度解决安全问题 1.使用Servlet规范中的Filter保护Web请求并限制URL级别的访问; 2.使用spring Aop保护方法调用,借用动态代理和使用通知确保只有在具有相应权限的用户才能访问被保护的方法 今天先来明白一下身份验证,spring security身份验证有两种,H
HTML 基础标签——元数据标签 <meta>
Allen-
11-01 422
标签通常位于文档的部分。它用于定义文档的元数据,包括字符编码、文档描述、关键字、作者信息等。这些信息可以帮助浏览器正确解析和显示文档,同时还可以提供搜索引擎索引所需的信息
HTML前端页面设计静态网站-仿百度
2402_86955314的博客
11-02 386
浅浅分享一下前端作业,大佬轻喷~
超萌!HTML&CSS:超萌卡通熊猫头
weixin_52814911的博客
11-01 1007
创建了一个卡通风格的熊猫头。
CSS:基础选择器,文字控制属性(HTML)
最新发布
m0_75035023的博客
11-04 294
CSS:基础选择器,文字控制属性(HTML),javaweb
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值