容器管理安全最普遍的类型建立在基于表单的身份验证方式上。
通过这样的方式,server自己主动将尚未验证的用户重定向到一个HTML表单。检查他们的username和password,决定他们属于哪个角色逻辑。并检查他们的角色是否有权限訪问正在申请的资源。接着,基于表单的验证使用会话跟踪技术跟踪已经通过的用户。
在声明式中,它具有下面的长处和缺点:
长处:登陆表单和站点其它网页有一致的页面
缺点:若client浏览器禁用了cookie或server可能配置为总是使用URL重写,会话跟踪就会失败。
过程例如以下:
(1)设置username、password和角色 --> 由web容器承担,这里使用tomcat7.0作为配置
这里有2种方式,一种是通过tomcat_dir/conf/tomcat-user.xml将角色将username、角色、password保存在配置文件。还有一种是通过JDBCRealm将信息配置到mysql数据库中,Realm相关知识可看 http://blog.csdn.net/big1980/article/details/8613051,主要通过 tomcat_dir/conf/ server.xml 进行配置选择
【配置1 tomcat-user.xml】
在server.xml(默认) 中
resourceName="UserDatabase"/>
type="org.apache.catalina.UserDatabase"
description="User database that can be updated and saved"
factory="org.apache.catalina.users.MemoryUserDatabaseFactory"
pathname="conf/tomcat-users.xml" />
在tomcat-user.xml中定义自己的角色用户和passwordxml version='1.0' encoding='utf-8'?
>
【配置2JDBCRealm】
driverName="com.mysql.jdbc.Driver"
connectionURL="jdbc:mysql://localhost:3306/DBNAME"
connectionName="name" connectionPassword="password"
userTable="TABLE_NAME" userNameCol="COLUMN_NAME"
userCredCol="COLUMN_Password"
userRoleTable="ROLE_TABLE" roleNameCol="COLUMN_ROLE" />当中:
driverName
驱动名字
connectionURL 数据库连接url
connectionName连接的username
connectionPassword 连接的password
userTable 用户表
userNameCol username列
须要注意:tomcat-lib下是没有mysql的jar包需放入,并且貌似tomcat7開始已经不支持上面的写法。还好我看了tomcat8的wiki,假设这样写是url错误连不上,没有权限,得用
connectionURL="jdbc:mysql://localhost:3306/authorization?user=root&password=xxxxxx"
(2)指定login页面和login-failure页面的位置 web.xml
FORM
/login.jsp
/login-error.html
(3)创建登陆页面login.jsp——表单中必须含有j_security_check的Action、method为POST,名称为j_username的文本字段和名为j_password的密码域
(4)创建登陆失败页面login-error.html
(5)指定哪些url须要password保护(相同在web.xml中)
Sensitive
/sensitive/*
administrator
executive
(6)列出全部可能的抽象角色(用户类型)——全部可能的抽象角色必须在web.xml列出来
administrator
executive
(7)指定哪些URL仅仅能通过SSL訪问(web.xml)
CONFIDENTIAL transport-guarantee >
(8)关闭Invoker servlet---Tomcat 7实现的Servlet 3.0标准不再支持这个InvokerServlet类