web安全 - - 授权的配置以及实现基于表单的认证

最新推荐文章于 2024-05-09 22:34:20 发布
最新推荐文章于 2024-05-09 22:34:20 发布
阅读量59 收藏
点赞数
文章标签: web安全 web.xml python
原文链接:https://my.oschina.net/u/2301987/blog/546205
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

首先在 tomcat-users.xml中配置

<tomat-users>
    <role rolename="Admin"/>
    <role rolename="Member"/>
    <role rolename="Guest"/>
    <user username="Stupid Wolf" password="admin" roles="Admin, Member, Guest"/>
 </tomcat-users>

接着在 web.xml中配置

<security-role>
    <role-name>Admin</role-name>
</security-role>
<!--授权时,容器将把开发商特定的role信息映射到这里的找到的<role-name>中 -->

定义资源/方法约束

<security-constraint>

  <web-resource-collection>
    <web-resource-name>Resources</web-resource-name>
    <url-pattern>/url of files</url-pattern>
    <http-method>POST</http-method>
    <http-method>GET</http-method>
  </web-resource-collection>
  
  <auth-constraint>
    <role-name>Admin</role-name>
  </auth-constraint>
  
</security-constraint>

在web.xml添加

<login-config>
  <auth-method>FORM</auth-method>
  <form-login-config>
  	<form-login-page>/login.html</form-login-page>
  	<form-error-page>/error.html</form-error-page>
  </form-login-config>

其中login.html error.html的代码分别为

<!DOCTYPE html>
<html>
  <head>
    <title>login.html</title>
	
    <meta name="keywords" content="keyword1,keyword2,keyword3">
    <meta name="description" content="this is my page">
    <meta name="content-type" content="text/html; charset=UTF-8">
    
    <!--<link rel="stylesheet" type="text/css" href="./styles.css">-->

  </head>
  
  <body>
    <form name="f1" id="f1" action="j_security_check" method="post">
      <table>
        <tr>
          <td>Login:</td>
          <td><input type="text" name="j_username" id="login"></td>
        </tr>
        <tr>
          <td>Password:</td>
          <td><input type="password" name="j_password" id="password"></td>
        </tr> 
        <tr>
          <td colspan="2"><input type="submit"></td>
        </tr>
      </table>
    </form>
  </body>
</html>
<!DOCTYPE html>
<html>
  <head>
    <title>error.html</title>
	
    <meta name="keywords" content="keyword1,keyword2,keyword3">
    <meta name="description" content="this is my page">
    <meta name="content-type" content="text/html; charset=UTF-8">
    <meta charset="UTF-8">
    <!--<link rel="stylesheet" type="text/css" href="./styles.css">-->

  </head>
  
  <body>
  error!
     身份认证错误 <br>
  </body>
</html>

最后,我们也就完成了未经认证的客户请求一个没有传输保证的受限资源


附上结果截图:

其中 Security/test.jsp为一个受限的资源

170838_k9SA_2301987.png

当未经授权的用户访问test.jsp时,会弹出一个身份认证的表单

170749_YlXS_2301987.png

输入正确的身份之后,访问成功,否则,访问失败

170749_xtHz_2301987.png









转载于:https://my.oschina.net/u/2301987/blog/546205

weixin_33949359
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security-3.0.1中文官方文档(翻译版)
03-08
2.2. 开始使用安全命名空间配置 2.2.1. 配置web.xml 2.2.2. 最小<http> 配置 2.2.2.1. auto-config 包含了什么? 2.2.2.2. 和基本登录选项 2.2.3. 使用其他认证提供器 2.2.3.1. 添加一个密码编码器 ...
最新课程在线教学平台设计与实现+jsp.zip
04-09
6. **安全性设计**: 描述系统如何保障用户数据的安全,包括通过数据加密、访问控制和安全审计等手段来防止未授权访问。 7. **系统演示**: 可能包含系统操作的截图或视频,以便用户直观了解系统的实际运行情况。 8. *...
JAVA上百实例源码以及开源项目
01-03
 用JAVA编写了一个小工具,用于检测当前显示器也就是显卡的显示模式,比如分辨率,色彩以及刷新频率等。 Java波浪文字制作方法及源代码 1个目标文件 摘要:Java源码,初学实例,波浪文字  Java波浪文字,一个利用...
JAVA上百实例源码以及开源项目源代码
12-11
凯撒加密解密程序 1个目标文件 1、程序结构化,用函数分别实现 2、对文件的加密,解密输出到文件 利用随机函数抽取幸运数字 简 EJB的真实世界模型(源代码) 15个目标文件 摘要:Java源码,初学实例,基于EJB的真实...
Web安全研究(八)
至臻求学,胸怀云月
05-05 868
S&P 2021石溪大学攻击者依赖于恶意的bot发现易受攻击的网站,并入侵服务器泄漏用户数据。因此了解恶意的bot相当重要。作者设计了Aristaeus,用于部署大量蜜罐网站的系统,专门吸引和记录僵尸流量而存在的网站。每月都收到超过37k的请求数据,且超过一般都是请求试图暴力破解凭证,进行指纹识别,以及利用大量不同的漏洞。比较tls与ua头发现86.2%的bot都声称自己是chrome和firefox,但其实基于简的http和命令行工具。
网络安全之OSI七层模型详解
m0_65858385的博客
05-06 915
HTTP--80(使用TCP协议),HTTPS--443(TCP),TELNET远程登录服务--23(TCP),SSH远程登陆“安全性较高,加密认证--22(TCP),RIP--512(UDP),DNS--域名解析53(TCP和UDP)。3.对数据丢失不敏感。组播:一对多,D类地址:源服务器将资源发送到一个组播组上,当用户需要资源时,访问该组播组并成为组员,然后该组播组将资源复制传递给用户,可以更好的将数据转发和复制给尽可能远的网络节点,减轻资源服务器的负载。MAC地址也叫物理地址,硬件地址,烧录地址。
web安全学习笔记(13)
m0_58875569的博客
05-09 277
记一下第20-21节课的内容。PHP+HTML套模板做一个企业官网、BurpSuite安装与原理+VPN衔接
<网络安全>《81 微课堂<安全产品微简介(1)>》
Else 的博客
05-09 164
产品 简要 防火墙 网络区域边界上部署,主要作用是隔离阻断。 安全审计 一般包括网络日志的分析、网络流量的监控和用户行为的跟踪等。发现网络中的潜在问题和漏洞。 入侵检测IDS 实时监控和检测网络中的异常活动和入侵行为。 入侵防御IPS 防病毒软件、防火墙的补充,一般结合IDS使用。可以阻断网络资料传输。 网关 网络互连设备。网间数据传递和转换。可以包含VPN、流控、上网行为审计等。 靶场 虚拟化技术,模拟真实的网络架构、系统设备、业务流程,实现学习、研究、竞赛、演习。
网络安全(黑客)—-2024自学手册
xv7676的博客
05-06 1433
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
守护数字疆域:2024年网络安全报告深度解读
junge_sys的博客
05-09 129
面对复杂多变的网络安全挑战,没有绝对的安全,只有不懈的努力。从个人到企业,从政策到技术,我们需携手共筑数字安全的长城。看完这份报告,你有何感想?你的组织是否经历过类似的挑战?留言分享你的经验或疑问,让我们在互动中学习,一同前行。记住,最好的防御,始于你我共同的警觉与行动。
网络安全运维类面试非技术问题
m0_62207482的博客
05-03 612
第四点是溯源,尽可能的分析一下本次事件的5W1H,攻击线路,技战术等等。答:要先做计划,提前了解要做哪些设备或哪块区域的检查,会涉及到哪些设备,具体的还要有对应的软硬件版本,确定检查深度和主次点,举个例子:比如要检查测试区5台设备,都是linux,有几个应用,具体版本是3.4.1和5.32,本次是全面检查,要留痕归档,那么就按照Linux基线安全进行全面的检查--系统配置、账户权限、访问控制、日志记录等方面进行检查,如果出现问题,确定一下风险等级和解决方案,将解决方案和优化措施一同写进检查报告。
网络安全实训Day16
Yisitelz的博客
04-26 2374
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
工业互联网网络安全如何保障
A526847的博客
05-09 498
我们需要建立完善的安全管理体系、加强设备安全管理、强化网络安全防护、加强数据安全管理以及推广安全新技术应用等多方面的措施来共同应对工业互联网网络安全挑战。首先,工业互联网系统复杂,涉及的设备、协议和应用众多,存在大量的安全漏洞和隐患。此外,随着物联网、云计算、大数据等新技术在工业互联网中的应用,网络攻击手段也变得更加复杂和隐蔽。因此,企业应加强对这些数据的安全管理,包括数据加密、访问控制、数据备份等方面。因此,企业应加强对设备的安全管理,包括设备选型、安全配置、访问控制等方面。时代的到来,工业互联网(
网络安全(黑客)—2024自学
dexi113的博客
04-25 2836
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!
网络安全零信任学习2:零信任概念
最新发布
jackyrongvip的专栏
05-09 330
(4)零信任的访问代理具备网络隐身能力,可以提高对抗DDoS攻击。(2)设备不可信:网络中的设备不都是公司管控的设备,未经检测。(3)系统不可信:漏洞是修不完的,系统一定存在未修复的漏洞。b)持续评估访问中的信任等级,根据环境和信任等级变化,实时动。(2)零信任不仅是一种思路,更是一系列技术的合集。(3)零信任架构不是抛弃传统的安全边界。(5)零信任架构与传统的安全产品之间不是泾渭分明的。(2)零信任的访问代理可能造成性能延迟。(3)零信任的访问代理会保护整个网络,但它本身会成为攻击的焦。
Web安全研究(七)
至臻求学,胸怀云月
05-02 1414
作者从14个主要商业网站收集到第一个十亿级的测量研究,且进一步将指纹分类为良性和攻击指纹,使用的是F5公司基于学习的反馈驱动的欺诈和bot检测系统;得到3个主要结论:(i)攻击指纹在许多指标上与良性指纹显著不同,例如熵、唯一率和演变速度;(ii)攻击者正在采用各种工具和策略生成攻击指纹;(iii)攻击指纹在不同攻击类型之间变化,例如从内容抓取到欺诈交易。
「 网络安全常用术语解读 」漏洞利用预测评分系统EPSS详解
网络安全
05-06 818
EPSS(Exploit Prediction Scoring System,漏洞利用预测评分系统) 提供了一种全新的高效、数据驱动的漏洞管理功能。EPSS是一项数据驱动的工作,使用来自 CVE 的当前威胁信息和现实世界的漏洞数据。EPSS 模型产生 0 到 1(0 到 100%)之间的概率分数,其中分数越高,漏洞被利用的概率越大。
欧盟MDR法规对医疗器械网络安全都有哪些要求?
网 安 云
05-09 602
该指南解决了上市前和上市后的网络安全要求,并扩展了有关软件设备设计和风险评估的 MDR 语言,其中包括若干协调国际网络安全建议的技术文件。MDR,欧盟医疗器械法规(Medical Device REGULATION (EU) 2017/745,简称“MDR”),当医疗器械办理欧盟CE认证时,需满足新法规 MDR (EU) 2017/745要求。MDR 附件一列出了针对具有网络安全风险的设备的一般安全和性能要求 (GSPR),特别是“包含本身就是设备的电子可编程系统和软件的设备”。
<网络安全>《82 微课堂<安全产品微简介(2)>》
Else 的博客
05-09 136
2 简的了解复杂的安全产品 产品 说明 漏洞扫描或挖掘 漏洞扫描和挖掘都是为了发现系统或软件漏洞。区别是挖掘要发现0day漏洞,漏洞扫描发现已知漏洞。 准入 主要是对合规设备入网进行验证。 上网行为管理 关注用户网络访问的行为,比如是否泄密、占用带宽过大、访问非法网站等。 安全管理平台 集成多项功能。 安全审计 主要分系统级、应用级、用户级三类。主要是对操作系统、应用软件等一些日志记录进行审计。帮助用户发现和防范风险。 资产测绘 发现网络上的设备资产、建立设备目录、绘制
Spring Security如何实现身份认证授权
04-28
Spring Security是一个基于Spring框架的安全框架,可以用来实现Web应用程序的身份认证授权。Spring Security的核心是过滤器链,它在请求到达应用程序之前进行拦截,进行身份认证授权处理。Spring Security提供了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值