java 安全认证,tomcat 安全认证

做过WEB项目的都知道,一但涉及用户,我们不得不为用户登录写一堆繁杂的验证代码。当然Spring AOP的诞生为我们的权限管理提供了不少的便利。甚至你也以用自己写的Filter(过滤器)来对你的程序进行登录时的验证。今天在这里和大家分享一种更为简便的方法,它就是Java Web的安全验证机制。

这种机制是对立地WEB的容器之上的,如Tomcat,JBoss等,你只须在你应用中的web.xml文件中做一定的配置就可以完成一个简单的登录验证的功能。确切地说WEB安全验证机制不仅可以让我们完成登录的功能,它更侧重于安全两字。你可以把受保护的资源全部定义在你的资源集里面,这样用户只有在取得了合法的身份验证之后才可以访问,它可以保护  WEB的整个应用、某个子文件夹、甚至于特定的一类文件,这将取决于你对资源集的定义。

Tomcat容器支持以下四种认证方式:

1. BASIC认证:这种方式被认为是最不安全的认证,因为它没有提供强烈的加密措施。

BASIC

2. DIGEST认证:相比于BASIC认证,它是种比较安全的认证,它在认证时将请求数据 通过MD5的加密方式进行认证。

DIGEST

3.FORM认证:这是种基础自定义表单的认证,你可以指定登录时的验证表单。

FORM

/login.htm

/error.html

以下是login.htm的内容:(注意form的action还有input元素的name,这些是固定的)

Username

Password

4.CLIENT-CERT认证:这是一种基于客户端证书的认证方式,比较安全。但缺陷是在没有安全证书的客户端无法使用。

CLIENT-CERT

下面介绍一下,配置认证的步骤:

1.定义角色:这些角色可以是TOMCAT的tomcat-user.xml文件中定义的默认角色及用户,也可以是自己创建的数据库角色与用户表。以下分别介绍:

1.1 基本TOMCAT已有用户及角色的认证配置:

tomcat-users.xml中的role元素

web.xml文件中的security-role元素

Admin

1.2 基本自定义数据库用户表的认证配置:

如果你想基于自己定义的数据表进行认证,那你得在META-INF文件夹下创建一个名为 context.xml文件,配置如下内容:

connectionName="root"

connectionPassword="123456"

connectionURL="jdbc:mysql://localhost:3306/mycms"

driverName="com.mysql.jdbc.Driver"

roleNameCol="rolename"

userCredCol="password"

userNameCol="username"

userRoleTable="mc_userroles"

userTable="mc_users"/>

这里配置了数据库的连接信息以及指定了认证的用户表及角色表。

2 定义资源/方法约束

在web.xml文件中定义如元素:

MyCMS

Protected Area

/admin/*

Admin

BASIC

MyCMS

The role that is required to log in to the Administration Application

Admin

至此我们基本TOMCAT的安全认证配置就完成了。至于其它三种方式,配置类似,可以参考2中定义的web.xml文件

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值