servlet 认证,授权

最新推荐文章于 2022-10-23 20:51:19 发布
最新推荐文章于 2022-10-23 20:51:19 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: java ee 文章标签: servlet security input action tomcat ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/linshizhan/article/details/7792707
版权

           servlet安全分为四类:认证,授权,数据完整性,机密性。

     有时候我们的某个网页,可能不允许所有人查看,如有些机密消息只有高级会员查看,这时候我们该如何处理?我们怎么判断访问网页的这个人就是本人,而不是其他人冒充的呢?

    servlet中的认证和授权就能解决这个问题,认证就是验证是否是本人,验证是否是本人的方法就是能否输入正确的用户名和密码。授权就是用户账户和密码匹配后,查看该用户的角色,是否有查看相关资源的权限。

    在tomcat中conf文件夹下tomcat-users.xml中,我们可以定义角色 和相应账户的账户名,密码,和角色信息。

   

<tomcat-users>
   <role rolename="member"/>
   <role rolename="guest"/>
   <user username="shizhan" password="shizhan" roles="member"/>
   <user username="xxx" password="xxx" roles="guest"/>
</tomcat-users>
 

   例如上面我们声明了member和guest两个角色。

   并且声明了两个用户,shizhan和xxx,角色分别为member和guest。

   在web.xml中,我们可以通过 <security-role>把我们定义的角色告诉web应用。

   

 <security-role>
     <role-name>member</role-name>
   </security-role>
   
  <security-role>
      <role-name>guest</role-name>
  </security-role>

    例如现在我们要对url为/TestSafeLogin的servlet进行认证和授权,可以这么声明

     

<security-constraint>
      <web-resource-collection>
         <web-resource-name>demo</web-resource-name>
         <url-pattern>/TestSafeLogin</url-pattern>
         <http-method>GET</http-method>
          <http-method>POST</http-method>
      </web-resource-collection>
      <auth-constraint>
        <role-name>member</role-name>
      </auth-constraint>
      <user-data-constraint>
          <transport-guarantee>CONFIDENTIAL</transport-guarantee>
      </user-data-constraint>
  </security-constraint>

    <web-resource-name>demo</web-resource-name>这个标签没有实质作用。

    <url-pattern>/TestSafeLogin</url-pattern>请求哪个servlet必须进行验证。

     <http-method>GET</http-method>  <http-method>POST</http-method>请求这个servlet的get和post请求才进行验证。

      <auth-constraint>
             <role-name>member</role-name>
      </auth-constraint> 表示只有会员这个角色才能查看。

       <user-data-constraint>
            <transport-guarantee>CONFIDENTIAL</transport-guarantee>
      </user-data-constraint>表示传输用户名和密码的时候,利用https协议进行加密传输。

    上面定义了只有会员的角色才能对/TestSafeLogin这个资源进行get和post请求,而且用户名和密码传输过程中使用https协议进行传输。

    可是当我们访问了这个资源后,容器利用什么方式要求用户输入用户名和密码呢?

    这里有四种认证方式:

    1:基本认证(采用base64编码)

    2:摘要(digest)认证

    3:客户证书(client-cert)是以一种非常安全的形式进行传输登录信息,使用了公共密钥证书,缺点是客户必须有证书才能登录你的系统。

    4:表单认证(form),可以根据合法的html建立登录表单,四种认证中,表单认证是最不安全的。

    下面我们以表单认证来演示我们的例子。在web.xml中配置

    

  <login-config>
      <auth-method>FORM</auth-method>
      <form-login-config>
         <form-login-page>/login.html</form-login-page>
         <form-error-page>/loginerror.html</form-error-page>
      </form-login-config>
  </login-config>

  表示需要客户输入用户名和密码的时候,跳转到login.html,当输入错误的时候跳转到loginerror.html,并且以表单的方式提交。

   下面看看login.html

   

<!DOCTYPE html>
<html>
  <head>
    <title>login.html</title>
  </head>
  
  <body>
     
     <form method="post" action="j_security_check">
                    用户名<input type="text"  name="j_username"/><br/>
                    密码  <input type="text"  name="j_password"/><br/>
          <input type="submit" value="登录"/>
     </form>
  </body>
</html>

   其中action的值等于j_security_check,用户名的name是j_username,密码的name是j_password,这些都是规定好的,不可改变。

   既然表单认证是最不安全的,那么怎么保证我们的信息传输的安全性呢?

   其实java ee规范中有传输层的安全性规范,我们可以使用

     <user-data-constraint>
            <transport-guarantee>CONFIDENTIAL</transport-guarantee>
      </user-data-constraint>来进行配置,上面我们已经配置过了,他使用的是ssl协议进行加密。

   现在一切都准备好了,我们还必须对tomcat配置ssl协议,其实就是为我们的服务器生成一个证书,大家可以参考网上的资料。

  完毕。

   


   

     

shizhan1881
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
servlet实现简单登录验证
05-12
servlet实现简单登录验证,最简单的实现,通过equals()方法然后重定向,主要是理解servlet的运行机制
servlet+vue后端代码
05-04
如果验证成功,Servlet会返回一个成功的响应,可能包含一些登录状态信息或授权令牌;如果验证失败,则返回错误信息。 **Java Servlet技术:** 1. **Servlet生命周期**:Servlet的生命周期包括加载、初始化、服务、...
CAS集成Weblogic的ServletAuthentication调用
David.turing's Security Blog
04-02 210
本来,使用j_security_check是最简单的Build-in认证方式,但CAS有自己的登录入口,即login servlet,如果用该servlet,必须自己动手完成JAAS的登录。于是,开始扩展CAS的edu.yale.its.tp.cas.auth.provider,在该包中的provider都扩展自authHandler接口,而CAS是在web.xml中定义了最终使用哪一个authH...
java 身份验证,java – 通过Servlet进行身份验证
weixin_35550400的博客
03-21 296
我的情况如下:我在Tomcat上运行了2个Web应用程序.最初用户登录到应用程序1然后.有一个指向应用程序2的链接.在单击链接时,应将用户重定向到第二个应用程序.两个应用程序使用LDAP身份验现在,这里的问题是第二个应用程序有自己的身份验证系统.因此,我们计划隐式验证在第一个系统中登录的用户.我编写了一个servlet,当我在App1中单击App2的链接时会执行该servlet.我试图使用下面的代...
Servlet安全性(1)----验证和授权
AzureL
08-10 631
验证,是验证某个人身份是否属实的过程,一般是通过要求用户输入用户名和密码完成。 授权主要是确定一个用户具有什么样的访问级别,它使用与包含多个访问区域的程序,使用户能够访问程序的某一个部分,但不能访问其他部分。 访问级别一般称为角色。在大多数的Servlet/JSP中,验证和授权都是通过编程的方式来完成的,具体做法是先将用户名和密码与数据库表进行验证。 定义用户和角色在Tomcat中,
java存储过程调用servlet授权问题
cishenbi2411的博客
09-12 125
今天写了一个java存储过程,调用远端的servlet。在java程序和function均正确的情况下,报the Permission (java.net.SocketPermission localhost resolve) ...
servlet酒店管理系统
08-15
9. **安全性**:了解基础的认证授权机制,比如使用HttpSession和Cookie来管理用户登录状态。 10. **测试**:可能包含单元测试和集成测试,确保功能的正确性。 通过这个项目,开发者可以熟悉Servlet的使用,加深...
基于Servlet实现博客系统
最新发布
01-26
3. **用户认证授权** - **登录注册**:Servlet处理用户提交的登录注册信息,验证用户名和密码,通过JDBC连接数据库进行查询。 - **权限控制**:为不同角色(如管理员、普通用户)设定不同的访问权限,通过...
旅游管理系统 jsp+servlet.zip
07-24
- 实现用户认证授权机制 - 数据库设计和优化 总的来说,"旅游管理系统 jsp+servlet.zip"是一个全面的Java Web学习资源,涵盖了从基础到进阶的多个知识点,对于想要提升Web开发技能的开发者来说非常有价值。
基于servlet个人名片管理系统
11-09
对于一个实际的系统,用户认证授权也是必不可少的部分。尽管描述中没有提及,但一个完整的个人名片管理系统可能会包含用户登录功能,确保只有授权的用户才能访问和管理名片数据。这可能涉及到session管理和cookie...
Servlet 实现上传附件(支持多附件)
Big Data
03-29 2251
一、简单介绍 使用 Servlet上传附件 原理上还是蛮简单的,首先获取上传的附件对象,然后做一些简单处理 后写入到指定路径的磁盘中。 二、准备条件 common-io.jar,下载地址:http://commons.apache.org/io/download_io.cgi common-upload.jar ,下载地址:http://jakarta.apac...
servlet产生数字验证码
EJB_wawa
05-01 132
servlet产生数字验证码 package com.sun.test; import java.io.IOException; import java.io.PrintWriter; import javax.servlet.ServletException; import javax.servlet.http.HttpServlet; import javax.serv...
服务器如何获取客户端证书,在Servlet中读取客户端证书
weixin_31690347的博客
07-30 806
小编典典如何将证书(.cer)从客户端发送到服务器?客户端证书(.cer,.crt,.pem)及其对应的私钥(.key)应首先包装到PKCS#12(.p12,.pfx)或JKS(.jks)容器中(密钥库)。您还应该将服务器的CA证书打包为JKS(信任库)。HttpClient client = new HttpClient();// truststoreKeyStore trustStore = ...
SpringSecurity授权
weixin_51992178的博客
10-23 1267
用户登录后会根据用户的身份进行角色划分,比如登录图书馆系统,一般就有管理员和普通学生等不同角色。用户的一个操作实际上就是在访问我们提供的`接口`(编写的对应访问路径的 Servlet),比如登陆,就需要调用`/login`接口,退出登陆就要调用/`logout`接口,因此,决定用户能否使用某个功能,只需要决定用户是否能够访问对应的 Servlet
基于servlet实现微信页面授权(经过测试)
笨笨CEO的博客
04-04 416
基于servlet实现微信页面的授权,如你在实际的开发中可以随机应用。闲话不多讲请参考代码。 微信api调用的开发文档点击打开链接 1,web.xml 配置文件,简单的映射。 <web-app version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSc
servlet初步,简单的登录验证并显示用户名称
小菜的专栏
12-27 6847
编写3个servlet,分别为LogIn、CheckUser、Welcome,在LogIn中输入用户名和密码,点击“提交”按钮,提交到CheckUser中进行验证,验证成功显示Welcome,失败则重新返 回到LogIn。 图1,业务流程 代码如下: LogIn类: package com.test.servlet; import java.io.*; import javax
Weblogic安全性编程在 Java 客户端中使用 JAAS 身份验证
纸上得来终觉浅,绝知此事要躬行
01-06 3152
原文地址:http://edocs.weblogicfans.net/wls/docs92/security/fat_client.html 本部分包含下列主题:  JAAS 和 WebLogic Server JAAS 身份验证开发环境 使用 JAAS 身份验证编写客户端应用程序 使用 JNDI 身份验证 Java 客户端 JAAS 身份验证代码示例
Servlet实现HTTP基本认证机制
weixin_34306676的博客
10-13 264
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值