1、配置JDBC Realm,
在tomcat的server.xml文件中,配置自己的JDBC Realm,tomcat 提供了六种Realm实现,这里使用JDBC Realm 演示。
Realm标签可以放在Engine标签中,这是该Realm会被所有应用共享。 放在Host中,会被该Host下的应用程序共享。放在Context中,则只有对应的应用程序能被访问。
[quote]
className :tomcat 的JDBCRealm实现类,
driverName: JDBC Driver (JDBC Driver jar 需要放在Tomcat's common/lib 目录下)
connectionURL: 数据库连接地址,表名为std
connectionName:数据库登录用户
connectionPassword:数据库登录密码
userTable: 用户表的表名
userNameCol:用户表中用户列的列名
userCredCol:用户表中密码列的列名
userRoleTable:角色表的表名
roleNameCol: 角色表中的角色列
[/quote]
对于上面配置的Realm,对应的数据库表如下:
2、配置认证资源
配置角色,在web.xml中,使用security-role标签来定义角色,如下所示
配置资源约束,在web.xml中,使用security-constraint标签定义,如下所示,指定了对资源/admin/* 的访问需要认证,只有角色是ADMIN的用户才能访问
配置认证方式 ,在web.xml中使用login-config标签配置认证方式。如下所示,当访问需要认证的资源时,servlet会检查对应的请求是否需要认证,如果不需要,则允许访问,如果没有认证通过,则会转到/admin/login.jsp页面定义的认证入口,填写认证信息。
当认证失败时,会转到/admin/error.jsp页面中。
对于auth-method,可以指定认证的方式为,BASIC、DIGEST、CLIENT-CERT、FORM 。其中FORM允许自定义登录界面,对于FORM自定义的登录表单,action、用户名、密码都要用统一的名字:
通过以上的配置,Request中也就保存了用户的认证信息了,在系统的其他地方,可以通过Request.isUserInRole方法,判断用户的角色。。。。
在tomcat的server.xml文件中,配置自己的JDBC Realm,tomcat 提供了六种Realm实现,这里使用JDBC Realm 演示。
<Realm className="org.apache.catalina.realm.JDBCRealm"
driverName="org.gjt.mm.mysql.Driver"
connectionURL="jdbc:mysql://localhost/std"
connectionName="root" connectionPassword="root"
userTable="users" userNameCol="user_name" userCredCol="user_pass"
userRoleTable="user_roles" roleNameCol="user_role" />
Realm标签可以放在Engine标签中,这是该Realm会被所有应用共享。 放在Host中,会被该Host下的应用程序共享。放在Context中,则只有对应的应用程序能被访问。
[quote]
className :tomcat 的JDBCRealm实现类,
driverName: JDBC Driver (JDBC Driver jar 需要放在Tomcat's common/lib 目录下)
connectionURL: 数据库连接地址,表名为std
connectionName:数据库登录用户
connectionPassword:数据库登录密码
userTable: 用户表的表名
userNameCol:用户表中用户列的列名
userCredCol:用户表中密码列的列名
userRoleTable:角色表的表名
roleNameCol: 角色表中的角色列
[/quote]
对于上面配置的Realm,对应的数据库表如下:
CREATE TABLE `users` (
`user_name` varchar(20) NOT NULL,
`user_pass` varchar(20) DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
CREATE TABLE `user_roles` (
`user_name` varchar(20) NOT NULL,
`user_role` varchar(20) NOT NULL,
PRIMARY KEY (`user_name`,`user_role`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
2、配置认证资源
配置角色,在web.xml中,使用security-role标签来定义角色,如下所示
<security-role>
<role-name>ADMIN</role-name>
</security-role>
<security-role>
<role-name>USER</role-name>
</security-role>
配置资源约束,在web.xml中,使用security-constraint标签定义,如下所示,指定了对资源/admin/* 的访问需要认证,只有角色是ADMIN的用户才能访问
<security-constraint>
<web-resource-collection>
<web-resource-name>adminDir</web-resource-name>
<url-pattern>/admin/*</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>ADMIN</role-name>
</auth-constraint>
</security-constraint>
配置认证方式 ,在web.xml中使用login-config标签配置认证方式。如下所示,当访问需要认证的资源时,servlet会检查对应的请求是否需要认证,如果不需要,则允许访问,如果没有认证通过,则会转到/admin/login.jsp页面定义的认证入口,填写认证信息。
当认证失败时,会转到/admin/error.jsp页面中。
<login-config>
<auth-method>FORM</auth-method>
<form-login-config>
<form-login-page>/admin/login.jsp</form-login-page>
<form-error-page>/admin/error.jsp</form-error-page>
</form-login-config>
</login-config>
对于auth-method,可以指定认证的方式为,BASIC、DIGEST、CLIENT-CERT、FORM 。其中FORM允许自定义登录界面,对于FORM自定义的登录表单,action、用户名、密码都要用统一的名字:
<form action="j_security_check" method="post">
<table>
<tr><td>user :</td><td><input name="j_username" type="text"></td></tr>
<tr><td>pass :</td><td><input name="j_password" type="password"></td></tr>
<tr><td><input type="submit"/></td></tr>
</table>
</form>
通过以上的配置,Request中也就保存了用户的认证信息了,在系统的其他地方,可以通过Request.isUserInRole方法,判断用户的角色。。。。
2870
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
