web.xml 中的 security-role 的運作剖析

最新推荐文章于 2021-02-16 20:04:37 发布
最新推荐文章于 2021-02-16 20:04:37 发布
阅读量410 收藏
点赞数
文章标签: wrapper manager string servlet authentication tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/itkbase/article/details/2169641
版权
本文探讨了在Tomcat环境下,security-role在web.xml中的配置如何影响应用程序的角色验证。当调用isUserInRole时,实际上是通过RealmBase的hasRole方法,结合GenericPrincipal检查用户角色。Principal是在认证时根据tomcat-users.xml的角色创建的。同时,文章还提到,如果servlet使用security-role-ref链接security-role,将在启动时由ContextConfig建立角色映射关系。总结来说,security-constraint中的role与security-role之间的关系并不直接,而在商业应用服务器中,security-role可能会用于角色映射。
摘要由CSDN通过智能技术生成
如果在 tomcat 之上執行程式
你撰寫的 security-role 到底有沒有用呢 ?

當呼叫 isUserInRole 其實是去呼叫 RealmBase 中的 hasRole 透過 GenericPrincipal 去檢查 

GenericPrincipal gp = (GenericPrincipal) principal;
boolean result = gp.hasRole(role);
return result;


而 Principals 是在你 authentication 的時候就給了,
這是 取出 tomcat-users.xml 的 roles 去處理放在你的 Principal 中
最低0.47元/天 解锁文章
itkbase
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jsp的web.xml配置说明
·☂.幸福如人饮水,冷暖自知。
11-15 718
Web.xml常用元素 定义了WEB应用的名字 声明WEB应用的描述信息 context-param元素声明应用范围内的初始化参数。 过滤器元素将一个名字与一个实现javax.servlet.Filter接口的类相关联。 一旦命名了一个过滤器,就要利用filter-mapping元素把它与一个或多个servlet或JSP页面相关联。 servlet API的版本2.3增加了
security-constraint和四种认证类型
Hedwig的博客
07-06 3720
1. <security-constraint><security-constraint> 的子元素 <http-method> 是可选的,如果没有 <http-method> 元素,这表示将禁止所有 HTTP 方法访问相应的资源。 子元素 <auth-constraint> 需要和 <login-config> 相配合使用,...
java字段描述符_部署描述符图解
weixin_33156085的博客
02-16 559
部署描述符图解本节举例说明部署描述文件的元素。属性没有在图显示。详细信息请参阅部署描述文件模式。1.web-app元素web-app 元素是一个 Web 应用程序的根部署描述符。此元素包含下列元素。这个元素有一个必需的属性 version 来指定部署描述符符合哪个版本的模式。此元素的所有子元素可以是任意的顺序。FIGURE 14-1 web-app Element Structure2.des...
【Java.Web】web.xml详解
王晓斌的专栏
12-24 2648
Contents
spring security之httpSecurity使用示例
06-03 1152
httpSecurity 类似于spring security的xml配置文件命名空间配置的<http>元素。它允许对特定的http请求基于安全考虑进行配置。默认情况下,适用于所有的请求,但可以使用requestMatcher(RequestMatcher)或者其它相似的方法进行限制。 使用示例: 最基本的基于表单的配置如下。该配置将所有的url访问权限设定为角...
web.xml配置文件详解
11-20
通过对`web.xml`文件的详细分析,我们可以看出它是Web应用配置的关键所在。正确地配置`web.xml`不仅可以帮助我们更好地组织和管理Web应用,还能显著提高开发效率和维护性。因此,深入理解每个配置项的作用及其应用...
struts2.5 web.xml配置
08-28
在探讨Struts2.5的`web.xml`配置时,我们首先需要理解`web.xml`在Java Web应用的角色以及它如何与Struts框架交互。`web.xml`是Java Web应用的核心配置文件之一,用于定义应用程序级别的配置信息,如过滤器、监听...
Web.xml配置文件[文].pdf
10-12
本文将对Web.xml配置文件的各个元素进行详细的解释和分析。 1. `<web-app>`元素 `<web-app>`元素是Web.xml配置文件的根元素,用于定义Web应用程序的所有配置信息。 2. `<display-name>`元素 `<display-name>`元素...
spring-security-project.zip- Spring Security实现RBAC权限模型demo
02-09
在本示例,"spring-security-project.zip" 提供了一个基于RBAC(Role-Based Access Control)权限模型的演示项目。RBAC是一种常用的权限管理机制,它通过角色将权限与用户关联,使得权限管理更加灵活和安全。 ...
weblogic.xml配置详解
12-22
如果给定的角色名没有指定 `<run-as-role-assignment>`,则 Web 应用程序容器将使用 `<security-role-assignment>` 定义的第一个 `<principal-name>`。 ##### 2.5 `<reference-descriptor>` 元素 此元素用于...
看源码,重新审视Spring Security的角色(roles)是怎么回事
江成军的专栏
01-27 1772
在网上看见不少的博客、技术文章,发现大家对于Spring Security的角色(roles)存在较大的误解,最大的误解就是没有搞清楚其角色和权限的差别(好多人在学习Spring Security时,是不是对于到底加不加“ROLE_”前缀有点犯蒙),有时候觉得在进行权限控制时用权限名称或者用角色名称都差不多(大家这种感觉是对的,如果简单应用确实差不太多)。 我们在进行角色权限控...
Servlet3.1规范翻译——部署描述文件
jinnianshilongnian的专栏
01-21 351
 部署描述文件   本章指定的Java™Servlet规范3.0版要求Web容器支持部署描述文件。部署描述文件表达了应用开发人员、应用集成人员和Web应用部署人员之间的元素和配置信息。   对于Java Servlet 2.4和以后的版本,部署描述文件在XML模式文档定义。   为了向后兼容到2.2版本的API编写的应用程序,Web容器也需要支持2.2版本的部署描述文件。为了向后...
web.xml<security-constraint>和四种认证类型
01-17 1389
的子元素 是可选的,如果没有 元素,这表示将禁止所有 HTTP 方法访问相应的资源。  子元素 需要和 相配合使用,但可以被单独使用。如果没有 子元素,这表明任何身份的用户都可以访问相应的资源。也就是说,如果 没有 子元素的话,配置实际上是不起用的。如果加入了 子元素,但是其内容为空,这表示所有身份的用户都被禁止访问相应的资源。  web.xml:  Xml代
2535-springsecurity系列--关于授权角色“ROLE”前缀的问题
zzxx1994617的博客
07-24 6619
版本信息 &lt;parent&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-parent&lt;/artifactId&gt; &lt;version&gt;1.5.14.RELEASE&lt;/version&gt
Spring Boot集成Security使用数据库用户角色权限ROLE_问题
禅与计算机程序设计艺术
04-30 8852
问题描述 日志打出来的ROLE是USER,代码里调用的是@PreAuthorize("hasRole('USER')"),为什么权限却是不对? 后台打印日志: username is jack, USER LoginFilter:{ "accountNonExpired":true, "accountNonLocked":true, "authoritie...
Spring Security(16)——基于表达式的权限控制
dotedy的博客
10-16 1887
EL表达式hasPermissionPreFilterPreAuthorizeSpring Security  基于表达式的权限控制 目录 1.1      通过表达式控制URL权限 1.2      通过表达式控制方法权限 1.2.1     使用@PreAuthorize和@PostAuthorize进行访问控制 1.2.2     使用@PreFilter和@Post
weblogic安全问题
peng_kan的博客
04-18 1628
在web项目的web.xml文件,加入以下部分.<security-constraint> <web-resource-collection> <web-resource-name>Success</web-resource-name> <url-pattern>/welcome
modify spring security RoleVolter default prefix
u012941811的专栏
11-25 1061
access-decision-manager-ref="_accessManager">                                        authentication-failure-url="/login.jsp?error=true" />                            class="org.springframewo
spring-security 方法访问限制,权限控制
hi_你好
07-24 2015
这是篇关于spring-security的权限控制文章,涉及使用多种不同方式进行方法控制和页面控制。 方法控制:1.jsr-250;2.secured 3.spel表达式 页面控制:页面内容控制,可使用spel表达式
- src - main - java - com.example - controller - UserController.java - dao - UserDAO.java - pojo - User.java - service - UserService.java - UserServiceImpl.java - resources - mybatis - MyBatisConfig.xml - mapper - UserMapper.xml - spring - SpringConfig.xml - SpringMVCConfig.xml - applicationContext.xml - webapp - WEB-INF - pages - login.jsp - register.jsp - userList.jsp - updateUser.jsp - web.xml
最新发布
06-08
这是一个典型的Maven项目结构,其包含了一个Web应用程序的...同时,webapp目录下包含了Web应用的页面(pages目录)和配置文件(web.xml)。这种项目结构有利于将代码按照功能模块进行分组,使得项目更易于维护和扩展。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值