tomcat安全机制j_security_check(简单版)

最新推荐文章于 2024-06-15 17:09:44 发布
最新推荐文章于 2024-06-15 17:09:44 发布
阅读量3.7k 收藏
点赞数
文章标签: java python 数据库
原文链接:https://my.oschina.net/u/2351298/blog/783967
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

参考: http://www.blogjava.net/asktalk/archive/2005/07/23/8221.html

在web应用中,对页面的访问控制通常通过程序来控制,流程为:
登录 → 设置session → 访问受限页面时检查session是否存在,如果不存在,禁止访问

对于较小型的web应用,可以通过tomcat内置的访问控制机制来实现权限控制。采用这种机制的好处是,程序中无需进行权限控制,完全通过对tomcat的配置即可完成访问控制。

实现:在用户访问受限页面时,如果用户没有登陆则自动跳转到登陆页面,只有通过登陆验证有权限的用户可以访问受限资源。

下面讲如何配置使用:

1.为了在tomcat页面设置访问权限控制,在项目的WEB-INF/web.xml文件中,进行如下设置:

  <security-constraint>

   <!--1.被保护的资源 -->

    <web-resource-collection>

      <web-resource-name>testLogin</web-resource-name>

      <url-pattern>/protected/*</url-pattern>

    </web-resource-collection>

   <!--2.有权限的角色 -->

    <auth-constraint>

      <role-name>tian</role-name>

    </auth-constraint>

  </security-constraint>

 

   <!-- 3.登录方式 -->

  <login-config>

    <auth-method>FORM</auth-method>

    <form-login-config>

      <form-login-page>/login.jsp</form-login-page>

      <form-error-page>/error.jsp</form-error-page>

    </form-login-config>

  </login-config>

其中,<url-pattern>中指定受保护的url,可以使用通配符*,通常对整个目录进行访问权限控制。(例子中指在protected目录下的所有文件都被保护);
<auth-constraint>中指定哪些角色可以访问<url-pattern>指定的url,在<role-name>中可以设置一个或多个角色名。(例子中角色名为tian的角色有访问权限)。

 

2.使用的角色名来自tomcat的配置文件${CATALINA_HOME}/conf/tomcat-users.xml。 如下所示:

<tomcat-users>

  <role rolename="tomcat"/>

  <role rolename="tian"/>

  <role rolename="manager"/>

  <user name="admin" password="admin" roles="tian,tomcat,manager" />

  <user name="tian" password="tian" roles="tian,manager" />

</tomcat-users>

其中,<role rolename="tian"/>指角色名为tian;

<user name="admin" password="admin" roles="tian,tomcat,manager" />指通过登录名admin和密码admin登陆的用户拥有tian,tomcat,manager这3个角色的权限。

所用角色名也可以自己配置,使用Realm,可以从数据库中获取,下篇《在tomcat中使用Realm》再讲。

 

3.<login-config>用来设置登录方式;

<auth-method>的取值为BASIC与FORM。如果为BASIC,浏览器在需要登录时弹出一个登录窗口。如果为FORM方式,需要指定登录页面和登录失败时的提示信息显示页面。(例子中使用的登陆方式为FROM表单登陆)

其中的<form-login-page>指定登录页面url,<form-error-page>指定登录失败时的提示页面url。
登录页面中,form的action,以及其中的用户名和密码两个参数的名称,都应取固定的值。登录的后台处理程序为j_security_check;用户名和密码的参数名称分别为:j_usernamej_password
如下是登录页面(如:login.jsp)的一段示例代码:

<form  method="post" action='j_security_check' >

        <label >账号:</label>

        <input name="j_username" type="text"/><br>

        <br>

        <label >密码:</label>

        <input name="j_password" type="password"/><br>

        <br>

        <button id="j_login" type="submit" >登录</button><br>

</form>

而BASIC的配置如下:

<login-config>  
  <auth-method>BASIC</auth-method>  
</login-config>

 

转载于:https://my.oschina.net/u/2351298/blog/783967

weixin_34216196
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JEPaaS 低代码平台 j_spring_security_check SQL注入漏洞复现
0xSec
06-13 487
JEPaaS 低代码平台 j_spring_security_check 接口处存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
tomcatj_security_check验证机制
g161g的专栏
04-27 2436
tomcatj_security_check验证机制 是利用tomcat自身配置的角色和用户名来登录应用系统的 配置如下: tomcat-users.xml &lt;role rolename="tomcat"/&gt; &lt;role rolename="tian"/&gt; &lt;role rolename="manager"/&gt; &lt;user n
Spring Security 引用数据库管理用户权限-----login.jsp 提示"用户名或密码错误"
zhouzhiwengang的专栏
03-19 2236
错误展示: 相关spring-security.xml 配置文件和spring-mybatis.xml 文件 <beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="
【漏洞复现】JEPaaS 低代码平台 j_spring_security_check SQL注入漏洞
最新发布
siu~
06-15 537
JEPaaS 低代码平台j_spring_security_check 接口处存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
使用Tomcat j_security_check实现用户登录、注销功能
热门推荐
登高必自卑 行远必自迩
04-20 1万+
本文使用Tomcat容器自身的访问控制机制实现简单用户身份认证和访问授权。
一句话解释j_security_check
Adong的程序人生
06-17 3362
配置认证方式为form, 指定登陆页面login.jsp。有请求受保护资源protect.wss ,容器就踢回到login.jsp, 输入用户名和密码提交给j_security_check,容器进行安全认证,方式是用户指定好的,一般有ldap或其他方式,认证成功后,马上进入到用户输入的受保护资源protect.wss。这里有个特例,比如用户原始输入的URL就是login.jsp, 那么认证成功后,去向哪里?  这里一般会在login.jsp页面做一些处理,如果已经认证成功,则redirect到一个指定的资源
j_security_check 问题记录(weblogic)
qq_21216941的博客
08-24 1228
j_security_check 问题记录(weblogic)
【网络安全】Spring框架漏洞总结(二)
kali_Ma的博客
09-11 1026
安全防护 1.使用1.0.x本的用户应放弃在认证通过和错误这两个页面中使用Whitelabel这个视图。 2.使用2.0.x本的用户升级到2.0.10以及更高的本 因为对java不是很熟,所以没有对底层原理进行分析 2.Spring Web Flow框架远程代码执行(CVE-2017-4971) 漏洞简介 Spring Web Flow是Spring的一个子项目,主要目的是解决跨越多个请求的、用户与服务器之间的、有状态交互问题,提供了描述业务流程的抽象能力。 Spring WebFlow 是一个适用于
tomcat-7_API_帮助文档
06-26
* tomcat-jdbc.jar (Tomcat's database connection pooling solution) * tomcat-util.jar (Various utilities) * websocket-api.jar (WebSocket 1.1 API) You can make additional APIs available to all of your ...
基于Tomcat安全验证机制
05-06
【基于Tomcat安全验证机制】 在Java Web开发中,安全验证是至关重要的,尤其是在涉及到用户登录和权限控制的场景。Tomcat作为一个流行的Java Servlet容器,提供了内置的安全验证机制,允许开发者轻松实现用户身份...
tomcat-8_API
06-30
* tomcat-jdbc.jar (Tomcat's database connection pooling solution) * tomcat-jni.jar (Interface to the native component of the APR/native connector) * tomcat-spdy.jar (SPDY implementation) * tomcat-util...
Spring Security集成CAS客户端实例
03-02
通常会包含`formLogin().loginProcessingUrl("/j_spring_cas_security_check")`来指定CAS登录处理URL。 5. **CAS服务端配置**:Oframer和otauser是CAS服务端的组成部分。确保它们正确配置并运行,能够处理来自...
单点登录Spring-security+CAS.pdf
07-04
<property name="filterProcessesUrl" value="/j_spring_cas_security_check"/> ``` **3. CAS Server配置** CAS服务器需要配置SSL来保证通信的安全性。首先,我们需要创建一个Keystore,存储服务器的数字证书。...
Tomcat安全域设置大全
enet_java的专栏
05-09 491
安全域是tomcat内置的功能,在org.apache.catalina.Realm接口中声明了把一组用户名,口令及所关联的角色集成到Tomcat的方法中,Tomcat5提供了4个实现这一接口的类,它们代表了4种安全域类型。   下面我一一介绍其相关配置,及其应用方法。   运行环境:windows2000,tomcat5.0.28,jdk1.5,jdbc3.0,sqlserver20...
weblogic系列漏洞整理 -———— 2、weblogic弱口令
Fly_鹏程万里
11-01 3493
weblogic常用的后台登录弱口令     WebLogic后台登陆地址: http://192.168.11.178:7001/console/login/LoginForm.jsp 测试思路 登陆weblogic后台看到后台地址登陆并无限制(验证码或登录认证次数),因此可以尝试写脚本进行爆破。 在登陆页面随便输入一个用户名密码,利用network查看提交情况 可以看...
check在java怎么用,使用j_security_CHECK在JavaEE/JSF中执行用户身份验证
weixin_42458128的博客
04-01 646
我想你想基于表单的认证使用部署描述符和j_security_check.您也可以在JSF中使用相同的预先定义的字段名来做到这一点。j_username和j_password如本教程所示。例如:您可以在User获取以检查User已登录,如果没有,则检查Principal在请求中存在,如果存在,则获取User与j_username.packagecom.stackoverflow.q2206911;...
Spring mvc+Spring Security集成,以及j_spring_security_check出现404问题的解决
技术杂货铺
02-27 2882
本文采用的是Spring 3.2.18.Release本,SpringSecurity使用2.0.5.RELEASE,另本文使用的xml的形式配置Spring Security pom文件如下: <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XML...
关于websphere中配置 j_security_check 的配置
jiangtie的专栏
03-07 1102
系统登录的submit提交的action是j_security_check,程序部分没有任何问题,但是无法登录。在websphere中做configure: A. In Integration Solutions Console 选择安全性---》安全管理,应用程序和基础架构--》java 认证和授权服务--》应用程序登录 B. In Integration S...
tomcat如何添加java_home
05-10
要在Tomcat中设置JAVA_HOME环境变量,请按照以下步骤进行操作: 1. 确定您安装的Java JDK的路径。例如,在Windows上,Java JDK通常安装在C:\Program Files\Java\jdk1.8.0_221目录中。 2. 打开Tomcat的启动脚本文件。在Windows上,可以在Tomcat的bin目录中找到这个文件。在Linux上,可以在Tomcat的bin目录中找到startup.sh或catalina.sh文件。 3. 在启动脚本中找到设置JAVA_HOME环境变量的行,通常是以export JAVA_HOME=开头的行。如果没有找到这样的行,请添加以下行: export JAVA_HOME=/path/to/java/jdk 其中,/path/to/java/jdk是您安装Java JDK的路径。 4. 保存并关闭启动脚本文件。 现在,当您启动Tomcat时,它将使用设置的JAVA_HOME环境变量来查找Java JDK。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值