安全约束 security Constraint

最新推荐文章于 2024-06-02 18:28:10 发布
最新推荐文章于 2024-06-02 18:28:10 发布
阅读量1.1k 收藏 2
点赞数 2
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/southwind1/article/details/132099889
版权

项目中实现访问权限控制的两种方式:

一. 通过在web.xml文件中配置

<security-constraint>
   <web-resource-collection>
      <web-resource-name>Private</web-resource-name>
  <!-- 需要约束的请求路径-->
      <url-pattern>/private/*</url-pattern>
  <!-- 需要约束的请求方式-->
      <http-method>GET</http-method>
   </web-resource-collection>
<!--用于指定可以访问该资源集合的用户角色-->
   <auth-constraint>
      <role-name>admin</role-name>
   </auth-constraint>
<!--用来显示怎样保护在客户端和Web容器之间传递的数据-->
    <user-data-constraint>  
<!--
        ● NONE,这意味着应用不需要传输保证。
        ● INTEGRAL,意味着服务器和客户端之间的数据必须以某种方式发送,而且在传送中不能改变。
        ● CONFIDENTIAL,这意味着传输的数据必须是加密的数据。
-->
        <transport-guarantee>NONE/INTEGRAL/CONFIDENTIAL</transport-guarantee>  
    </user-data-constraint>  
</security-constraint>

安全认证标签说明

二.JAVA代码实现

以spring boot为例,因为spring boot中内嵌tomcat

@Configuration
public class SecurityConfig {
    @Bean
    public TomcatServletWebServerFactory servletContainer() {
        TomcatServletWebServerFactory tomcatServletContainerFactory = new TomcatServletWebServerFactory();
        tomcatServletContainerFactory.addContextCustomizers(new TomcatContextCustomizer() {

            @Override
            public void customize(Context context) {
                SecurityConstraint securityConstraint = new SecurityConstraint();
                SecurityCollection collection = new SecurityCollection();
                collection.addPattern("/admin/*");
                securityConstraint.addCollection(collection);
                securityConstraint.addAuthRole("admin");
                context.addConstraint(securityConstraint);
            }
        });
        return tomcatServletContainerFactory;
    }
}

southwind1
关注
SpringBoot2.x系列教程(三十九)SpringBoot中SecurityConstraint使用详解
程序新视界
02-06 4736
针对Web应用中数据的敏感程度,可采用http或https进行访问。而在Spring Boot中也可以通过重新定义TomcatServletWebServerFactory的具体实现来达到不同层级数据的安全访问形式。比如,静态资源采用http访问,非静态资源采用https进行访问。 具体到代码使用,以Spring Boot为例,可实现http调整到https的配置代码如下: @Configurat...
Tomcat安全域简介
weixin_43882265的博客
02-05 500
安全域是Web服务器用来保护Web应用的资源的一种机制。在安全域中可以配置安全验证信息,其用户信息(包括用户名和口令)以及用户和角色的映射关系。每个用户可以拥有一个或多个角色,每个角色限定了可访问的Web资源。安全域是Tomcat内置的功能,在org.apache.catalina.Realm接口中声明了把一组用户名、口令以及所关联的角色集成到Tomcat中的方法。Tomcat为 Realm接口提供了一些实现类。下表列出了常见的一些 Realm实现类,它们代表不同的安全域类型。安全域类型类名描述。
webxml中的安全约束
almond8的博客
10-04 923
baseporject baseproject *.jsp *.do <!-- 没有http-method默认全部请求 --> GET PUT HEAD TRACE POST DELETE OPTIONS <!-- 没有auth-constraint默认所有用户都能访问 写了单内容为空
web.xml中<security-constraint>和四种认证类型
01-17 1424
的子元素 是可选的,如果没有 元素,这表示将禁止所有 HTTP 方法访问相应的资源。  子元素 需要和 相配合使用,但可以被单独使用。如果没有 子元素,这表明任何身份的用户都可以访问相应的资源。也就是说,如果 中没有 子元素的话,配置实际上是不起中用的。如果加入了 子元素,但是其内容为空,这表示所有身份的用户都被禁止访问相应的资源。  web.xml:  Xml代
Java Web 的 Security Constraint 配置
weixin_33728708的博客
07-28 117
&lt;security-constraint&gt; 的子元素 &lt;http-method&gt; 是可选的,如果没有 &lt;http-method&gt; 元素,这表示将禁止所有 HTTP 方法访问相应的资源。 子元素 &lt;auth-constraint&gt; 需要和 &lt;login-config&gt; 相配合使用,但可以被单独使用。如果没有 &lt;auth-cons...
web.xml中的security-constraint
linj努力,奋斗
11-29 2841
/* PUT SEARCH DELETE COPY MOVE PROPFIND PROPPATCH MKCOL LOCK UNLOCK HEAD OPTIONS TRACE PATCH All Role --> BASIC 其中的, All Role 如果有元
web.xml中security-constraint安全认证标签说明
u012045045的博客
01-23 1万+
在做web项目时由于想给webRoot下的jsp文件进行安全保护,控制不允许直接对jsp的访问,于是找到了tomcat的安全认证机制,只需要在web.xml中进行一定的配置即可,非常方便。 1.因为使用了SpringMVC,这里先给出SpringMVC配置文件中的视图解析器配置 &lt;bean class="org.springframework.web.servlet.view.Inte...
security-constraint
04-12
b'security-constraint'是指在Java Web应用程序中配置安全约束的元素,用于限制对特定资源的访问权限。它通常包含一个或多个web-resource-collection和auth-constraint元素,用于指定受保护资源的URL模式、HTTP方法...
在web.xml中配置安全约束
03-29
在web.xml中配置安全约束可以保护Web应用程序中的资源和操作,以确保只有经过身份验证和授权的用户才能访问这些资源和操作。下面是一个示例配置: ``` <security-constraint> <web-resource-name>Protected ...
<security-constraint> <web-resource-collection> <web-resource-name>resouseName</web-resource-name> <url-pattern>/*</url-pattern> <http-method>PUT</http-method> <http-method>HEAD</http-method> <http-method>DELETE</http-method> <http-method>OPTIONS</http-method> <http-method>TRACE</http-method> </web-resource-collection> <auth-constraint /> </security-constraint>
06-07
这是一个Java Web应用程序中的安全约束security constraint配置,用于限制对网站资源的访问。该配置的含义是: 1. `<web-resource-name>`元素指定该安全约束的名称为“resouseName”。 2. `<url-pattern>`元素...
web.xml中security-constraint配置测试
孤城幻夜
10-24 3841
https://blog.csdn.net/tc2015/article/details/51774454
web.xml中的Security Constraint元素
lolichan的博客
09-27 1475
&lt;security-constriant&gt;元素是tomcat用来指示服务器对客户端访问服务端资源进行安全约束。如果不通过验证则报403错误 &lt;security-constraint&gt;     &lt;web-resource-collection&gt;       &lt;web-resource-name&gt;test&lt;/web-resource-...
设置 Web 工程安全访问(security-constraint
最新发布
ruky36的专栏
06-02 514
<user-data-constraint> 元素指定传输保证级别为 CONFIDENTIAL,表示需要通过 HTTPS 进行加密传输。在 Web 工程中,可以通过配置 web.xml 文件来设置安全约束,以确保某些资源只能通过 HTTPS 访问。- <web-resource-collection> 元素定义了受保护的 Web 资源集,包括名称和 URL 模式。通过这样的配置,可以有效地增强 Web 应用的安全性,保护敏感数据免受窃取和篡改。
设置web工程安全访问(security-constraint
werewr342352321df的专栏
04-15 5457
<br />在我们web工程的web.xml中设置security-constraint属性(即安全-约束)<br /> 配置如下:<br /> <security-constraint><br /><br /> <web-resource-collection><br /> <web-resource-name>User Basic Auth</web-resource-name><br /> <url-pattern>/*</url-pattern><br />
学习记录 -- web.xml中security-constraint配置测试
热门推荐
Welcome to IronC's Blog
06-28 1万+
在做web项目时由于想给webRoot下的jsp文件进行安全保护,控制不允许直接对jsp的访问,于是找到了tomcat的安全认证机制,只需要在web.xml中进行一定的配置即可,非常方便。 1.因为使用了SpringMVC,这里先给出SpringMVC配置文件中的视图解析器配置 -->
web.xml中安全认证标签说明
走在java的路途上
05-16 1156
1.security-constraint元素 部署描述符中的元素允许不通过编程就可以限制对某个资源的访问。     default             all files         /*                 admin                 NONE     (1) web-resource-collection元素
security-constraint解决-启用不安全的http方法
kang1011的博客
11-13 2270
security-constraint解决-启用不安全的http方法 拦截具体的接口,避免一些不合规的方式直接请求攻击 <security-constraint> <web-resource-collection> <web-resource-name>securityUrl</web-resource-name> <url-pattern>/home.do&l
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值