Tomcat j_security_check安全策略

最新推荐文章于 2024-01-28 03:23:45 发布
最新推荐文章于 2024-01-28 03:23:45 发布
阅读量1.2k 收藏
点赞数
分类专栏: tomcat jsp/servlet 文章标签: java 数据库 ldap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hck341204/article/details/84471858
版权
[size=medium]1. 内存域:类名,MemoryRealm;在初始化阶段,从XML文件中读取安全验证信息,并把它们以一组对象的形式放在内存中。
  对于资源访问它有三种方式:BASIC、DIGEST、FORM。使用Basic Authentication通过被认为是不安全的,因为它没有强健的加密方法,除非在客户端和服务器端都使用HTTPS或者其他密码加密码方式(比如,在一个虚拟私人网络中)。
  配置文件%tomcat%\conf\Catalina\localhost\Area.xml为:
  <?xml version='1.0' encoding='utf-8'?>
  <Context docBase="D:\jakarta-tomcat-5.0.28\webapps\Area" path="/Area" reloadable="true"
   workDir="work\Catalina\localhost\Area">
    <Realm className="org.apache.catalina.realm.MemoryRealm"/>
  </Context>
  web应用所在的WEB-INF\web.xml为:
  <?xml version="1.0" encoding="GB2312"?>
  <!DOCTYPE web-app
   PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" "http://java.sun.com/dtd/web-app_2_3.dtd">

   <web-app>
    <security-constraint>
    <display-name>sessiontest secruity constraint</display-name>
    <web-resource-collection>
    <web-resource-name>Protected Area</web-resource-name>
    <url-pattern>/test/*</url-pattern>
    </web-resource-collection>

   <auth-constraint>
    <role-name>cool</role-name>
   </auth-constraint>
   </security-constraint>

<!--以下是基于BASIC验证-->
    <login-config>
   <auth-method>BASIC</auth-method>
    <realm-name>Sessiontest Realm</realm-name>
   </login-config>

<!--以下是基于DIGEST验证-->
<!--  <login-config>
   <auth-method>DIGEST</auth-method>
    <realm-name>Sessiontest Realm</realm-name> ...
   </login-config>
-->

<!--以下是基于FORM验证-->
<!-- <login-config>
    <auth-method>FORM</auth-method>
    <realm-name>Sessiontest Realm</realm-name>
    <form-login-config>
     <form-login-page>/usercheck.JSP</form-login-page>
     <form-error-page>/error.jsp</form-error-page>
    </form-login-config>
   </login-config>
若采用form验证,usercheck.jsp,主要参数(不要去更改它)设置如下:
<form method="post" action="j_security_check">
<input type="text" name="j_username"><br>
<br>
<input type="password" name="j_password"><br>
<br>
<input type="submit" value="login">
<input type="reset" value="reset">
</form>
-->


    <security-role>
   <description> session jdbctest </description>
   <role-name>cool</role-name> 版权申明:本站文章均来自网络,本站所有转载文章言论不代表本站观点
   </security-role>
  </web-app>
  基中<url-pattern>/test/*</url-pattern>表示受保护的资源为:http://localhost:8080/Area/test/下的所有资源。role角色cool在%tomcat%conf中的tomcat-users.xml中添加:
   <role rolename="cool"/>
  <user username="zxj1" password="zxj2" roles="cool"/>

  2. JDBC域:类名,JDBCRealm,通过jdbc驱动程序访问存在数据库中的安全验证。 ..

  3. 数据源域:类名,DataSourceRealm,通过JNDI数据源访问存在数据库中的安全验证信息。

  4. JNDI域:类名,JNDIRealm,通过JNDIproveider访问存放在基于LDAP的目录服务器中的安全验证信息。
[/size]

【转载地址】http://bxl766.blog.163.com/blog/static/6109950520122127924622/
MOVING
关注
专栏目录
Spring Security 6.x 系列(11)—— Form表单认证和注销流程
gmHappy
12-18 8080
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring Security 的 AuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
Linux的防火墙设置及Tomcat安装与配置
qq_42654356的博客
03-13 2685
1.如果是云服务器(列如:阿里云,需要保证阿里云的策略安全组的开放!) 1.1查看防火墙服务状态 [root@suzhongde suzhongde]# systemctl status firewalld ● firewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabl
tomcat的j_security_check验证机制
g161g的专栏
04-27 2493
tomcat的j_security_check验证机制 是利用tomcat自身配置的角色和用户名来登录应用系统的 配置如下: tomcat-users.xml &lt;role rolename="tomcat"/&gt; &lt;role rolename="tian"/&gt; &lt;role rolename="manager"/&gt; &lt;user n
tomcat安全机制j_security_check(简单版)
weixin_34216196的博客
11-08 3816
2019独角兽企业重金招聘Python工程师标准>>> ...
Tomcat安全域设置大全
enet_java的专栏
05-09 516
安全域是tomcat内置的功能,在org.apache.catalina.Realm接口中声明了把一组用户名,口令及所关联的角色集成到Tomcat的方法中,Tomcat5提供了4个实现这一接口的类,它们代表了4种安全域类型。   下面我一一介绍其相关配置,及其应用方法。   运行环境:windows2000,tomcat5.0.28,jdk1.5,jdbc3.0,sqlserver20...
一句话解释j_security_check
Adong的程序人生
06-17 3419
配置认证方式为form, 指定登陆页面login.jsp。有请求受保护资源protect.wss ,容器就踢回到login.jsp, 输入用户名和密码提交给j_security_check,容器进行安全认证,方式是用户指定好的,一般有ldap或其他方式,认证成功后,马上进入到用户输入的受保护资源protect.wss。这里有个特例,比如用户原始输入的URL就是login.jsp, 那么认证成功后,去向哪里?  这里一般会在login.jsp页面做一些处理,如果已经认证成功,则redirect到一个指定的资源
使用Tomcat j_security_check实现用户登录、注销功能
登高必自卑 行远必自迩
04-20 1万+
本文使用Tomcat容器自身的访问控制机制实现简单用户身份认证和访问授权。
checkjava怎么用,使用j_security_CHECKJavaEE/JSF中执行用户身份验证
weixin_42458128的博客
04-01 674
我想你想基于表单的认证使用部署描述符和j_security_check.您也可以在JSF中使用相同的预先定义的字段名来做到这一点。j_username和j_password如本教程所示。例如:您可以在User获取以检查User已登录,如果没有,则检查Principal在请求中存在,如果存在,则获取User与j_username.packagecom.stackoverflow.q2206911;...
鉴权 OAuth 2.0的实现(Spring_Security_Oauth2)
最新发布
qq_25156781的博客
01-28 3132
可以理解为客户端和服务器之间的一次私密谈话,在一次对话中可能会有多个请求和响应;同时要具有鉴别多个请求是来自同一个客户端的一次对话的功能;用户认证通过后,为了避免用户的每次操作都进行认证,可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
Tomcat 的安全方面设置 简单配置过程 说明
05-19
Apache Tomcat的安全配置主要涉及到以下几个方面:用户认证、访问控制、安全策略等。这些配置通常是在`conf`目录下的`tomcat-users.xml`和`web.xml`文件中完成的。 #### 二、用户认证配置 用户认证是Tomcat安全...
Spring Security OAuth2.0认证授权 --- 高级篇
shuai_h的博客
06-19 1676
六、OAuth2.0 6.1、OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。 Oauth协议目前发展到2.0版本,1.0版本过
J2EE安全策略:为tomcat页面设置访问权限(j_security_check
Java之路
07-23 1万+
http://www.blogjava.net/asktalkhttp://blog.csdn.net/fasttalk请点击下面的连接进入:J2EE安全策略:为tomcat页面设置访问权限(j_security_check
Java Web的安全验证机制
Java技术
10-31 2666
security-constraint部署描述符中的security-constraint元素允许不通过编程就可以限制对某个资源的访问。<!ELEMENT security-constraint (display-name?,web-resource-collection+,auth-constraint?, user-data-constraint?)> <!ELEMENT display-nam
j_security_check 问题记录(weblogic)
qq_21216941的博客
08-24 1375
j_security_check 问题记录(weblogic)
j_spring_security_check 404
答案是肯定的
12-11 1万+
最近在研究spring security的权限管理机制,自己试着搭了一个框架,可是在输入http:....../j_spring_security_check的时候,一直报404错误,在网上查了好多,都和我的不符,但是肯定是配置的问题,主要看spring.common.xml和spring.security.xml可是这两个的配置是正确的,一个一个字的和标准配置检查的, <form-logi
关于websphere中配置 j_security_check 的配置
j2ee_zhongqi的专栏
12-31 358
系统登录的submit提交的action是j_security_check,程序部分没有任何问题,但是无法登录。在websphere中做configure: A. In Integration Solutions Console 选择安全性---》安全管理,应用程序和基础架构--》java 认证和授权服务--》应用程序登录 B. In Integration Sol...
websecurity连接mysql_将MySQL连接器JAR放在我的WAR的WEB-INF / lib而不是tomcat lib中,使j_security_check失败...
weixin_33185844的博客
02-05 97
我想让我的webapp使用web-inf / lib中的MySQL连接器JAR。但是当我这样做时,j-security_check不能工作。当我把jar放在tomcat lib文件夹中时,它工作正常。但我已经购买了一个共享的Tomcat主机,他们不会让我把一个jar放在tomcat lib中。是否有可能在tomcat lib中使用没有jar的j_security_check和连接池。以下是我的ME...
【网络安全】Spring框架漏洞总结(二)
kali_Ma的博客
09-11 1121
安全防护 1.使用1.0.x版本的用户应放弃在认证通过和错误这两个页面中使用Whitelabel这个视图。 2.使用2.0.x版本的用户升级到2.0.10以及更高的版本 因为对java不是很熟,所以没有对底层原理进行分析 2.Spring Web Flow框架远程代码执行(CVE-2017-4971) 漏洞简介 Spring Web Flow是Spring的一个子项目,主要目的是解决跨越多个请求的、用户与服务器之间的、有状态交互问题,提供了描述业务流程的抽象能力。 Spring WebFlow 是一个适用于
使用Spring-Security进行登录控制的session问题
热门推荐
CTO成长之路——Rosanu
01-26 1万+
这边文章Spring Security Form Login Using Database对Spring Security做了非常简单明了的介绍。而且有一个可以down下来运行的示例工程。笔者试验了一下,发现一些有意思的问题。 访问http://localhost/SpringMVC/login,填写用户名和密码,点击登录按钮,发生如下请求: Request URL:http://lo
Tomcat安全防护策略与实践
此外,由于Apache httpd和Tomcat可能会共存,理解两者之间的安全策略差异也很重要。这涉及到如何协调它们的配置,以减少潜在的安全风险。例如,通过设置合适的防火墙规则和使用阀门(Valve)组件,可以过滤掉可能有害...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值