笔记——授权与认证

最新推荐文章于 2022-07-13 09:42:27 发布
最新推荐文章于 2022-07-13 09:42:27 发布
阅读量372 收藏
点赞数
分类专栏: JSP&Servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34902684/article/details/71545479
版权

定义角色

tomcat-users.xml

<?xml version="1.0" encoding="UTF-8"?>
<!-- 不建议这样做,如果不重启就无法修改内容 -->
<tomcat-users>
  <role rolename="Guest"/>
  <role rolename="Member"/>
  <role rolename="Admin" />
  <user username="Bill" password="coder" roles="Admin, Member, Guest"/>
  <user username="Bill" password="coder" roles="Member, Guest"/>
  <user username="Bill" password="coder" roles="Guest"/>  
</tomcat-users>



web.xml

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" version="2.5">
  <display-name></display-name>
  <welcome-file-list>
    <welcome-file>index.jsp</welcome-file>
  </welcome-file-list>
  
  <!-- 定义角色 -->
  <security-role><role-name>Admin</role-name></security-role> 
  <security-role><role-name>Member</role-name></security-role>  
  <security-role><role-name>Guest</role-name></security-role>
  
  <!-- 定义资源/方法约束 -->
  <security-constraint>
    <web-resource-collection>
      <web-resource-name>UpdateRecipes</web-resource-name> <!-- 必要,由工具使用 -->
      <url-pattern>/Beer/AddRecipe/*</url-pattern>
      <url-pattern>/Beer/ReviewRecipe/*</url-pattern>
      <http-method>GET</http-method> <!-- 未指定时全部HTTP方法都受约束 -->
      <http-method>POST</http-method>
    </web-resource-collection>
    
    <!-- 列出能调用受约束HTTP方法的角色 -->
    <auth-constraint>
      <role-name>Admin</role-name>
      <role-name>Member</role-name>
    </auth-constraint>
    
    <!-- 以声明方式保守地实现数据机密性和完整性 -->
    <user-data-constraint>
      <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>   
    <!-- 
    NONE 默认值,没有数据保护
    INTEGRAL 数据在传输过程中不能更改
    CONFIDENTIAL 数据在传输过程中不能被别人看到
     -->
  </security-constraint>
  
  <!-- 启用认证 -->
  <login-config>
    <auth-method>BASIC</auth-method>
  </login-config>
  <!-- 
  BASIC 声明了这个元素,余下的一切都将由容器负责,请求一个受限资源时,容器会自动询问用户名和口令
  DIGEST  摘要认证,如果容器支持,它会处理所有细节
  CLIENT-CERT  客户证书认证,这种认证能提供最大强度的保护,但是客户必须先有证书
  FORM  表单认证,如果启用<login-config>要如下写法
  <login-config>
  <auth-method>FORM</auth-method>
  <form-login-config>
  <form-login-page>/loginPage.html</form-login-page>
  <form-error-page>/loginError.html</form-error-page>
  </form-login-config>
  </login-config>
  --> 
</web-app>


基于表单的认证

loginPage.html

  <body>
    Please login daddy-o
    <!-- HTML登录表单中有3项是与容器通信的关键j_security_check,j_username,j_password -->
    <!-- 要让容器工作HTML的登录表单的action必须是j_security_check -->
    <form action="j_security_check" method="POST">
    <input type="text" name="j_username"> <!-- 容器要求HTTP请求把用户名存储在j_username中 -->
    <input type ="password" name="j_password">
    <input type="submit" value="Enter">
    </form>
  </body>

zy丶秋水
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web.xml中的Security Constraint元素
lolichan的博客
09-27 1442
&lt;security-constriant&gt;元素是tomcat用来指示服务器对客户端访问服务端资源进行安全约束。如果不通过验证则报403错误 &lt;security-constraint&gt;     &lt;web-resource-collection&gt;       &lt;web-resource-name&gt;test&lt;/web-resource-...
我的第一个weblogic+ldap验证授权demo
silly_sinba的专栏
12-06 2784
参考文档:http://www.360doc.com/content/050913/15/677_12305.htmlldap目录结构同参考文档的结构,weblogic的配置也和参考文档中一样。 web.xml文件:<web-app version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="ht
struts安全保护机制
hhtq的博客
03-21 450
配置保护资源 1.元素中的子标签为 用来标示一个资源 用来对资源进行描述 用来定义一个URL模式,所有与这个URL模式相匹配的URL地址的资源都将受到保护 用来定义受限制的HTTP请求方法。例如设置其值为POST,则POST请求方法将受到限制。 2. 允许访问受保护资源的角色 描述角色 3.包含元素,用来定义数据传输的保护形式 INTEGRAL: 保证数据在传输过程中不
web.xml中security-constraint安全认证标签说明
热门推荐
u012045045的博客
01-23 1万+
在做web项目时由于想给webRoot下的jsp文件进行安全保护,控制不允许直接对jsp的访问,于是找到了tomcat的安全认证机制,只需要在web.xml中进行一定的配置即可,非常方便。 1.因为使用了SpringMVC,这里先给出SpringMVC配置文件中的视图解析器配置 &lt;bean class="org.springframework.web.servlet.view.Inte...
Java Web 的 Security Constraint 配置
lyq123333321的专栏
12-30 4281
<br /><security-constraint> 的子元素 <http-method> 是可选的,如果没有 <http-method> 元素,这表示将禁止所有 HTTP 方法访问相应的资源。 <br /> 子元素 <auth-constraint> 需要和 <login-config> 相配合使用,但可以被单独使用。如果没有 <auth-constraint> 子元素,这表明任何身份的用户都可以访问相应的资源。也就是说,如果 <security-constraint> 中没有 <au
web.xml中安全认证标签说明
走在java的路途上
05-16 1141
1.security-constraint元素 部署描述符中的元素允许不通过编程就可以限制对某个资源的访问。     default             all files         /*                 admin                 NONE     (1) web-resource-collection元素
WEBLOGIC6.0的一些使用经验
::古埃及象形文字::
03-16 1239
感觉写的很好,所以转载与大家共享! 前 言 WEBLOGIC是一个性能卓越的J2EE服务器,在我国的使用者在快速增长。但现在有关它的中文资料基本没有,更没有介绍使用经验方面的。下面是本人在学习使用WEBLOGIC6.0中得到的一些经验,写出来与大家分享。 一、WEBLOGIC6.0的安装 WEBLOGIC6.0 自带了JDK1.3,所以不用预先安装JDK就可以直接安装它,在WIN2000平台是一个
web.xml中<security-constraint>和四种认证类型
01-17 1389
的子元素 是可选的,如果没有 元素,这表示将禁止所有 HTTP 方法访问相应的资源。  子元素 需要和 相配合使用,但可以被单独使用。如果没有 子元素,这表明任何身份的用户都可以访问相应的资源。也就是说,如果 中没有 子元素的话,配置实际上是不起中用的。如果加入了 子元素,但是其内容为空,这表示所有身份的用户都被禁止访问相应的资源。  web.xml:  Xml代
security-constraint和四种认证类型
Hedwig的博客
07-06 3720
1. &lt;security-constraint&gt;&lt;security-constraint&gt; 的子元素 &lt;http-method&gt; 是可选的,如果没有 &lt;http-method&gt; 元素,这表示将禁止所有 HTTP 方法访问相应的资源。 子元素 &lt;auth-constraint&gt; 需要和 &lt;login-config&gt; 相配合使用,...
Hadoop Web 控制台安全认证
徐小慧_Blog的博客
07-13 2679
Hadoop 2.x 版本,默认情况下,可以通过 http://ip地址:50070/explorer.html 访问HDFS页面,查看Namenode和Datanode状态,以及HDFS的相关文件等。但是这存在安全隐患,可能导致我们的文件信息的泄露,如果我们在页面里面添加个认证机制,只有验证之后的用户才可以进入页面里操作。...
Http权威指南笔记(十)——认证
VictorCatFish的博客
05-09 715
现在大多数网站都会在cookie等客户端识别机制的基础上建立自己的认证机制。但是HTTP规范中提供的原生认证机制还是有必要了解下,了解这些后才能更好理解那些自己建立的认证机制。 HTTP原生认证功能一般分为基本认证和摘要认证。基本认证相对简单,但是安全性相对较弱,摘要认证要复杂一些,当然安全性也会高一些。在介绍这两种认证方式之前,我们先看下HTTP中涉及到认证的一些通用概念。 1 HTTP认证机制...
【Head First Servlets and JSP】笔记 27: web 应用安全
bangtuo9862的博客
08-08 71
典型的安全问题:假冒者、窃听者、非法升级者 认证方式: Base64 、摘要认证 、客户端证书、表单认证,重点熟悉摘要算法( HASH 、 MD5 等) 安全机制:授权认证、数据完整性、机密性 80 端口、 443 端口 通过 HTTP 、 HTTPS 传输数据的区别, SSL 等概念 重放攻击、 SQL 注入等 【参考】 <?xml v...
java培训笔记.doc
08-09
java培训笔记
财务付款申请书.xlsx
08-09
工资表,财务报表,对账表,付款申请,财务报告,费用支出表 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
基于SSM++jsp的大学生兼职平台
08-09
内容概要 大学生兼职平台是一个基于SSM(Spring、Spring MVC、MyBatis)框架和JSP技术开发的在线平台,专为大学生提供丰富的兼职机会和企业招聘信息。该系统的主要功能包括兼职信息发布、职位搜索与匹配、简历管理、申请流程跟踪、企业招聘管理等。学生可以通过平台轻松查找适合自己的兼职工作,提交简历并在线申请职位;企业则可以发布招聘信息,筛选并联系合适的候选人。平台采用简洁直观的界面设计,确保用户的操作体验顺畅,同时保障用户信息的安全与隐私。 适用人群 本系统主要面向在校大学生以及提供兼职岗位的企业和个人招聘者。系统尤其适合那些希望通过兼职积累工作经验、减轻经济负担的大学生使用。此外,平台也适合创业公司、中小企业,以及需要短期雇员的个人招聘者使用,帮助他们找到合适的学生兼职人员。 使用场景及目标 兼职信息发布:企业和个人招聘者可以通过平台发布兼职岗位信息,包含职位描述、工作要求、薪酬待遇等内容,快速吸引潜在应聘者。 职位搜索与匹配:大学生可以根据自己的需求和条件,利用平台提供的搜索和筛选功能,找到适合自己的兼职工作。平台还支持智能匹配功能,推荐最符合学生简历的岗位。 简
2023-04-06-项目笔记 - 第二百二十阶段 - 4.4.2.218全局变量的作用域-218 -2024.08.09
最新发布
08-09
2023-04-06-项目笔记-第二百二十阶段-课前小分享_小分享1.坚持提交gitee 小分享2.作业中提交代码 小分享3.写代码注意代码风格 4.3.1变量的使用 4.4变量的作用域与生命周期 4.4.1局部变量的作用域 4.4.2全局变量的作用域 4.4.2.1全局变量的作用域_1 4.4.2.218局变量的作用域_218- 2024-08-09
简历-求职简历-word-文件-简历模版免费分享-应届生-高颜值简历模版-个人简历模版-简约大气-大学生在校生-求职-实习
08-09
简历-求职简历-word-文件-简历模版免费分享-应届生-高颜值简历模版-个人简历模版-简约大气-大学生在校生-求职-实习 简历是展示个人经历、技能和能力的重要文档,以下是一个常见的简历格式和内容模板,供您参考: 简历格式: 头部信息:包括姓名、联系方式(电话号码、电子邮件等)、地址等个人基本信息。 求职目标(可选):简短描述您的求职意向和目标。 教育背景:列出您的教育经历,包括学校名称、所学专业、就读时间等。 工作经验:按时间顺序列出您的工作经历,包括公司名称、职位、工作时间、工作职责和成就等。 技能和能力:列出您的专业技能、语言能力、计算机技能等与职位相关的能力。 实习经验/项目经验(可选):如果您有相关实习或项目经验,可以列出相关信息。 获奖和荣誉(可选):列出您在学术、工作或其他领域获得的奖项和荣誉。 自我评价(可选):简要描述您的个人特点、能力和职业目标。 兴趣爱好(可选):列出您的兴趣爱好,展示您的多样性和个人素质。 参考人(可选):如果您有可提供推荐的人员,可以在简历中提供其联系信息。 简历内容模板: 姓名: 联系方式: 地址: 求职目标: (简短描述您的求职意
基于MATLAB的图像去雾源码MATLAB.7z
08-09
在MATLAB中,可以使用以下方法之一来去除图像中的雾: 1. 基于暗通道先验的去雾算法: 暗通道先验是指自然图像中的大部分局部区域,在某个颜色通道上有较低的亮度。因此,可以通过计算图像的暗通道来估计雾的浓度。然后,使用估计的浓度来恢复原始图像。代码示例如下: ```matlab function dehazedImage = defog(image, omega, t0) darkChannel = min(image, [], 3); atmosphericLight = getAtmosphericLight(image, darkChannel); transmission = getTransmission(image, atmosphericLight, omega, t0); dehazedImage = recoverImage(image, transmission, atmosphericLight); end function atmosphericLight = getAtmosphericLight(image, dark
fpga自学笔记——设计与验证jmb
01-26
FPGA自学笔记——设计与验证JMB FPGA(可编程逻辑门阵列)是一种可编程的硬件平台,可以实现各种数字电路的设计与验证。本文将简要介绍使用FPGA自学设计与验证JMB(低功耗、高效能、集成度高的多媒体芯片)的过程。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值