为tomcat页面设置访问权限

最新推荐文章于 2023-12-07 10:34:11 发布
最新推荐文章于 2023-12-07 10:34:11 发布
阅读量4.5k 收藏
点赞数
文章标签: tomcat application security input basic session

web应用中,对页面的访问控制通常通过程序来控制,流程为:
登录 -> 设置session -> 访问受限页面时检查session是否存在,如果不存在,禁止访问

 

对于较小型的web应用,可以通过tomcat内置的访问控制机制来实现权限控制。采用这种机制的好处是,程序中无需进行权限控制,完全通过对tomcat的配置即可完成访问控制。

 

为了在tomcat页面设置访问权限控制,在项目的WEB-INFO/web.xml文件中,进行如下设置:

web.xml

<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-app
    PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
    "http://java.sun.com/dtd/web-app_2_3.dtd">
<web-app>
<security-constraint>
    <web-resource-collection>
      <web-resource-name>Protected Area</web-resource-name>
      <url-pattern>/*</url-pattern>
      <http-method>GET</http-method>
      <http-method>POST</http-method>
    </web-resource-collection>
    <auth-constraint>
      <role-name>student</role-name>
 <role-name>tomcat</role-name>
    </auth-constraint>
</security-constraint>
<login-config>
    <auth-method>FORM</auth-method>
    <realm-name>Default</realm-name>
    <form-login-config>
      <form-login-page>/logon.jsp</form-login-page>
      <form-error-page>/error.jsp</form-error-page>
    </form-login-config>
</login-config>
<security-role>
    <role-name>student</role-name>
</security-role>
</web-app>

其中,<url-pattern>中指定受限的url,可以使用通配符*,通常对整个目录进行访问权限控制。
<auth-constraint>中指定哪些角色可以访问<url-pattern>指定的url,在<role-name>中可以设置一个或多个角色名。

使用的角色名来自tomcat的配置文件${CATALINA_HOME}/conf/tomcat-users.xml

 

<login-config>中设置登录方式,<auth-method>的取值为BASICFORM。如果为BASIC,浏览器在需要登录时弹出一个登录窗口。如果为FORM方式,需要指定登录页面和登录失败时的提示信息显示页面。

logon.jsp
error.jsp

      
      <%@ page import="java.util.*" %>
<center>
<form action="j_security_check" method=post>
<table>
<tr>
   <td align="center" >
   <table border="0">
   <tr>
   <td><b>USERNAME:</b></td>
   <td>
      <input type="text" size="15" name="j_username"> 
   </td>
   </tr>
   <tr>
   <td><b>Password:</b></td>
   <td> 
      <input type="password" size="15" name="j_password">
   </td>
   </tr>
   <tr>
   <td></td>
   <td align="right"> 
   <input type="submit" value="Submit">
   </td>
   </tr>
   <tr>
   <td><br></td>
   </tr>
</table>
</td>
</tr>
</table>
</form>
</center>


      
       <%@ page import="java.util.*" %>
<h2>Login Error</h2>


有了web.xml,logon.jsp和error.jsp这三个文件后,就可以看看有什么效果了。

可以在tomcat下新建一个application:

security
|
-logon.jsp
-error.jsp
-WEB-INF
     |
     -web.xml

在浏览器上输入地址:http://localhost:8080/security

就可来到登陆界面。输入用户名:tomcat,密码:tomcat即可登陆啦。

 
infon
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tomcat 访问权限设置
weixin_30666943的博客
07-03 727
1.全局设置,设置允许某些IP能够访问tomcat服务器,或不能访问tomcat服务器 只需要编辑tomcat的server.xml,增加适当代码即可。 修改如下:在<Host> </Host> 之中添加以下代码 1,只允许192.168.1.10访问: <Valve className="org.apache.catalina.valves.R...
tomcat页面设置访问权限
weixin_30432179的博客
04-25 87
在web应用中,对页面访问控制通常通过程序来控制,流程为:登录 -> 设置session -> 访问受限页面时检查session是否存在,如果不存在,禁止访问 对于较小型的web应用,可以通过tomcat内置的访问控制机制来实现权限控制。采用这种机制的好处是,程序中无需进行权限控制,完全通过对tomcat的配置即可完成访问控制。 为了在tomcat页面设置访问权限控制,在项目的W...
tomcat配置用户权限
心之所向
12-30 8767
1、vi /etc/tomcat6/tomcat-user.xml 2、删除注释符 <!-- --> 3、增加账号 Tomcat 6 的配置:<tomcat-users> <role rolename="tomcat"/> /权限 <role rolename="role1"/> <role rolename="admin"/> <user username="tomc
Tomcat页面设置访问权限(HTTP)
aijia131416的博客
12-19 173
web.xml: 1 <?xml version="1.0" encoding="UTF-8"?> 2 <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 3 xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http...
tomcat访问权限
sddh1988的博客
05-07 2867
tomcat的自带应用是有访问权限的。比如manager程序。Tomcat Manager是Tomcat自带的、用于对Tomcat自身以及部署在Tomcat上的应用进行管理的web应用。Tomcat是Java领域使用最广泛的服务器之一,因此Tomcat Manager也成为了使用非常普遍的功能应用。当我们的程序发布到tomcat之后,我们可以用manager来查看这些应用的状态,也可以进行程序的开始
tomcat服务器安全设置方法
09-29
Tomcat服务器安全设置方法涉及多方面,目的是降低被攻击的风险、增强系统的安全性。首先,Tomcat是一个支持Servlet和Java Server Pages (JSP)技术的HTTP服务器,它为开发者提供了一个可扩展的平台来部署Web应用程序...
tomcat设置gzip压缩的原理及配置方法
09-30
1. 通过浏览器直接访问Tomcat服务器上的资源,并使用抓包工具(如Wireshark)观察响应数据包,确认响应头中是否含有“Content-Encoding: gzip”。 2. 使用编程方式模拟HTTP请求,观察响应头和内容。一个简单的Java...
Linux(CentOS7)安装Tomcat与设置Tomcat为开机启动项(tomcat8为例)
09-14
5. **访问Tomcat**:使用浏览器访问服务器的IP地址加端口号(默认为8080),如`http://your_ip:8080`,若能正常显示Tomcat的欢迎页面,则表示安装成功。 **设置开机启动:** 为了使Tomcat在每次系统启动时自动运行...
tomcat9用户访问配置问题_403Access Denied 无法访问server、Manager、Host Manager
10-28
- 对于安全性较高的生产环境,建议不要开放所有IP地址对管理页面访问权限,而是根据实际需求进行细粒度的权限控制。 - 定期更换管理界面的用户名和密码,提高系统的安全性。 综上所述,通过调整Tomcat用户的权限...
Tomcat 域名设置,配置
11-09
3. **权限问题**:确保Tomcat用户有足够的权限访问指定的应用目录。 4. **日志监控**:配置完成后,密切关注Tomcat的日志文件,以便及时发现并解决问题。 通过以上步骤,我们可以有效地为Tomcat配置虚拟主机和虚拟...
Tomcat8及以上配置Manager访问权限
黄江洪的博客
11-01 3349
1.修改$TOMCAT_HOME/webapps/manager/META-INF/context.xml文件,允许哪些IP可以访问Manager服务 <!-- Licensed to the Apache Software Foundation (ASF) under one or more contributor license agreements. See the NOTIC
关于Tomcat用户权限设置
技术专栏
04-16 5477
Tomcat用户权限设置 Tomcat5.5中的tomcat-users-xml文件                 Tomcat7.0中的tomcat-users-xml文件                             (1)通过设置Tomcat权限可以限制访问Tomcat自带的admin  web应用和manager web应用
Tomcat配置登陆权限
dgj8300的专栏
12-18 1095
#1.下载commons-codec库 http://commons.apache.org/proper/commons-codec/download_codec.cgi #2.将该库导入到对应webapp目录下对应的工程目录下,如: cp /home/sscr/commons-codec-1.11/* /opt/apache-tomcat/webapps/xxcode/WEB-INF/lib/ ...
页面访问权限
gxdzi的博客
12-24 3716
页面访问权限 首先通过router方法的meta 提示消息绑定 一个自定义参数 布尔值,true表示需要权限访问 false表示不需要权限就可以访问 建立前置路由守卫进行判断: 点击几个不同的路由 打印该消息 可以区分权限和不需要权限路由 之后: 第一步判断 如果是访问登录页面的话 直接放行 第二步判断 如果store中的 user 和user的token有这登录信息 有就行放心,没有的 话 进行第三步判断:通过dialog弹出框 提示用户是否进入登录或则否, 如果登录页面的话 那么直接进入登录页面,否则n
Tomcat 服务器配置实现 IP访问限制
知世故而不世故
04-13 8690
Tomcat中的ip访问限制,即设置允许某个(或某些)客户端可以访问tomcat服务器,或不能访问tomcat服务器。 修改如下: 有一个名为mytest的虚拟目录。用文本编辑器打开tomcat的server.xml配置文件,找到其配置代码以下: <context path=”/mytest” reloadable=”true” docBase=”/var/www/mytest” /> 将其改为下面代码: < context path=”/mytest” reloadable=”t
tomcat配置管理员And配置访问静态资源
最新发布
Decadent丶沉沦の博客
12-07 454
【代码】tomcat配置管理员And配置访问静态资源。
J2EE安全策略:为tomcat页面设置访问权限[转]
ruowu的专栏
09-29 203
转: http://www.blogjava.net/asktalk/archive/2005/07/23/8221.aspx   在web应用中,对页面访问控制通常通过程序来控制,流程为:登录 -&gt; 设置session -&gt; 访问受限页面时检查session是否存在,如果不存在,禁止访问 对于较小型的web应用,可以通过tomcat内置的访问控制机制来实现权限控制。采用这种...
Tomcat全局/局部https访问配置方法【tomcat容器的配置文件web.xml中添加security-constraint】
热门推荐
Thinking
08-01 1万+
文章来源:
tomcat对于web.xml的security-constraint使用的处理机制
wjxbj的博客
02-19 1862
一.知识点         web.xml中&lt;security-constraint&gt; 的子元素 &lt;http-method&gt; 是可选的,如果没有 &lt;http-method&gt; 元素,这表示将禁止所有 HTTP 方法访问相应的资源。         子元素 &lt;auth-constraint&gt; 需要和 &lt;login-config&gt; 相配...
tomcat页面403
07-27
Tomcat页面403错误表示访问被服务器拒绝,通常是由于权限问题导致的。以下是一些可能的解决方案: 1. 检查文件和文件夹的权限:确保您正在尝试访问的文件或文件夹具有正确的权限设置。确保Tomcat用户具有足够的权限来读取所需的文件。 2. 检查Web应用程序的配置:确保您的Web应用程序的配置文件正确设置。特别是,检查web.xml文件中的安全约束,确保您有适当的访问权限。 3. 检查URL映射和路径:确保您正在使用正确的URL访问资源。检查URL路径和映射是否正确,确保您正在请求存在的资源。 4. 检查Tomcat配置:检查Tomcat服务器的配置文件,如server.xml和web.xml。确保没有任何限制或过滤器阻止您的访问。 5. 检查防火墙和代理设置:如果您使用防火墙或代理服务器,请确保它们没有阻止或干扰您对Tomcat服务器的访问。 6. 检查日志文件:查看Tomcat服务器的日志文件,如catalina.out,以获取更多详细的错误信息。这些日志文件可以提供有关403错误发生的原因的线索。 如果以上解决方案都没有解决问题,您可能需要进一步调查您的特定情况,包括您的应用程序配置和服务器环境。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值