学习记录 -- web.xml中security-constraint配置测试

最新推荐文章于 2023-08-04 15:58:52 发布
最新推荐文章于 2023-08-04 15:58:52 发布
阅读量1.8w 收藏 9
点赞数 1
分类专栏: SpringMVC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tc2015/article/details/51774454
版权

在做web项目时由于想给webRoot下的jsp文件进行安全保护,控制不允许直接对jsp的访问,于是找到了tomcat的安全认证机制,只需要在web.xml中进行一定的配置即可,非常方便。

1.因为使用了SpringMVC,这里先给出SpringMVC配置文件中的视图解析器配置


    <bean class="org.springframework.web.servlet.view.InternalResourceViewResolver">
        <!-- 这里的配置我的理解是自动给后面action的方法return的字符串加上前缀和后缀,变成一个 可用的url地址 -->
        <!--<property name="prefix" value="/WEB-INF/jsp/" />-->
        <property name="prefix" value="/views" />
        <property name="suffix" value=".jsp" />
        <!-- InternalResourceViewResolver需要最低的优先级(最大order值) -->
        <property name="order" value="2" />
    </bean>

2.然后去配置security-constraint,因为tomcat安全认证有四种类型,我这里使用了BASIC

    <security-constraint>
        <display-name>interceptor-jsp</display-name>
        <web-resource-collection>
            <web-resource-name>JSPs</web-resource-name>
            <url-pattern>/views/resource/*</url-pattern><!-- 拒绝直接访问web文件夹下的所有页面 -->
        </web-resource-collection>
        <auth-constraint/>
    </security-constraint>
    <!-- 四种认证类型 -->
    <!-- BASIC:HTTP规范,Base64 -->
    <login-config>
        <auth-method>BASIC</auth-method>
    </login-config>


下面是四种类型的安全认证的介绍:

    <!-- 四种认证类型 -->
    <!-- BASIC:HTTP规范,Base64 这种方式被认为是最不安全的认证,因为它没有提供强烈的加密措施 -->
    <login-config>
        <auth-method>BASIC</auth-method>
    </login-config>
    <!-- DIGEST:HTTP规范,数据完整性强一些,但不是SSL 相比于BASIC认证,它是种比较安全的认证,它在认证时将请求数据 通过MD5的加密方式进行认证 -->
    <login-config>
        <auth-method>DIGEST</auth-method>
    </login-config>
    <!-- CLIENT-CERT:J2EE规范,数据完整性很强,公共钥匙(PKC) 这是一种基于客户端证书的认证方式,比较安全。但缺陷是在没有安全证书的客户端无法使用 -->
    <login-config>
        <auth-method>CLIENT-CERT</auth-method>
    </login-config>
    <!-- FORM:J2EE规范,数据完整性非常弱,没有加密,允许有定制的登录界面 这是种基础自定义表单的认证,你可以指定登录时的验证表单 -->
    <login-config>
        <auth-method>FORM</auth-method>
        <form-login-config>
            <form-login-page>/login.html</form-login-page>
            <form-error-page>/error.jsp</form-error-page>
        </form-login-config>
    </login-config>

3.主要的目录结构


对resource文件夹下的文件进行了安全保护,test.jsp通过后台Controller跳转,jsResource.jsp直接访问,结果如下

4.运行结果




指尖以东
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot2.x系列教程(三十九)SpringBootSecurityConstraint使用详解
程序新视界
02-06 4698
针对Web应用数据的敏感程度,可采用http或https进行访问。而在Spring Boot也可以通过重新定义TomcatServletWebServerFactory的具体实现来达到不同层级数据的安全访问形式。比如,静态资源采用http访问,非静态资源采用https进行访问。 具体到代码使用,以Spring Boot为例,可实现http调整到https的配置代码如下: @Configurat...
Tomcat全局/局部https访问配置方法【tomcat容器的配置文件web.xml添加security-constraint
热门推荐
Thinking
08-01 1万+
文章来源:
web.xmlsecurity-constraint配置测试
孤城幻夜
10-24 3824
https://blog.csdn.net/tc2015/article/details/51774454
web.xml 的安全性配置
iteye_19950的博客
01-05 229
web.xml 的代码 &lt;security-constraint&gt;   &lt;display-name&gt;   baseporject&lt;/display-name&gt;   &lt;web-resource-collection&gt;    &lt;web-resource-name&gt;baseproject&lt;/web-resource-name&gt;  ...
web.xmlsecurity-constraint
linj努力,奋斗
11-29 2816
/* PUT SEARCH DELETE COPY MOVE PROPFIND PROPPATCH MKCOL LOCK UNLOCK HEAD OPTIONS TRACE PATCH All Role --> BASIC 其的, All Role 如果有元
Java Web 的 Security Constraint 配置
weixin_33728708的博客
07-28 101
&lt;security-constraint&gt; 的子元素 &lt;http-method&gt; 是可选的,如果没有 &lt;http-method&gt; 元素,这表示将禁止所有 HTTP 方法访问相应的资源。 子元素 &lt;auth-constraint&gt; 需要和 &lt;login-config&gt; 相配合使用,但可以被单独使用。如果没有 &lt;auth-cons...
详解Spring mvc的web.xml配置说明
08-31
除了以上提到的配置,`web.xml`还可以包含错误页面定义、安全配置(如`<security-constraint>`)、本地化支持(`locale-encoding-mapping-list`)等。正确的配置有助于提升应用程序的性能、安全性和可维护性。理解并...
apache-tomcat-8.5.70.tar.gz.rar
09-27
6. **安全管理**:Tomcat支持多种安全措施,如SSL/TLS加密、角色基础的访问控制(RBAC)、Jaas认证等,需要在`conf/server.xml`的`<Realm>`和`<Security-constraint>`元素配置。 7. **性能监控**:可以使用JMX...
apache-tomcat-9.0.34-src.zip
06-21
3. **conf**:这里存放着Tomcat的配置文件,例如`server.xml`、`context.xml`、`web.xml`等,它们定义了服务器的行为和设置。 4. **lib**:这个目录下是Tomcat运行所需的库文件(JARs),包括Servlet和JSP规范实现...
apache-tomcat-8.0.32.rar
03-10
这些可以在`conf/tomcat-users.xml`和`conf/web.xml`文件配置。例如,使用`<tomcat-users>`元素定义用户和角色,使用`<security-constraint>`和`<login-config>`元素设置访问控制。 总的来说,Apache Tomcat ...
为tomcat服务器配置https,tomcat需要设置的server.xml与web.xml配置
03-10
在Tomcat的`conf`目录下,有两个主要的XML配置文件:`server.xml`和`web.xml`。`server.xml`是Tomcat的主要配置文件,而`web.xml`则定义了应用程序的行为。 在`server.xml`,我们需要配置`<Connector>`元素来启用...
设置web工程安全访问(security-constraint
werewr342352321df的专栏
04-15 5434
<br />在我们web工程的web.xml设置security-constraint属性(即安全-约束)<br /> 配置如下:<br /> <security-constraint><br /><br /> <web-resource-collection><br /> <web-resource-name>User Basic Auth</web-resource-name><br /> <url-pattern>/*</url-pattern><br />
安全约束 security Constraint
最新发布
southwind1的博客
08-04 1072
以spring boot为例,因为spring boot内嵌tomcat。
web.xmlSecurity Constraint元素
lolichan的博客
09-27 1446
&lt;security-constriant&gt;元素是tomcat用来指示服务器对客户端访问服务端资源进行安全约束。如果不通过验证则报403错误 &lt;security-constraint&gt;     &lt;web-resource-collection&gt;       &lt;web-resource-name&gt;test&lt;/web-resource-...
web.xmlsecurity-constraint安全认证标签说明
u012045045的博客
01-23 1万+
在做web项目时由于想给webRoot下的jsp文件进行安全保护,控制不允许直接对jsp的访问,于是找到了tomcat的安全认证机制,只需要在web.xml进行一定的配置即可,非常方便。 1.因为使用了SpringMVC,这里先给出SpringMVC配置文件的视图解析器配置 &lt;bean class="org.springframework.web.servlet.view.Inte...
web.xml<security-constraint>和四种认证类型
phenix_egg的专栏
11-16 2301
security-constraint> 的子元素 是可选的,如果没有 元素,这表示将禁止所有 HTTP 方法访问相应的资源。  子元素 需要和 相配合使用,但可以被单独使用。如果没有 子元素,这表明任何身份的用户都可以访问相应的资源。也就是说,如果 没有 子元素的话,配置实际上是不起用的。如果加入了 子元素,但是其内容为空,这表示所有身份的用户都被禁止访问相应的资源。 
深入解析web.xml配置:元素详解与实例
"web.xml是Java Web应用程序的核心配置文件,它定义了应用的元数据,包括Servlet、过滤器、监听器等组件的配置。本文将深入解析web.xml的各个元素及其用途,并通过实例来阐述配置方法。" 在Java Web开发,`web....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值