web.xml和Tomcat下的安全认证

liujjun · 发表于 2017-2-4 08:59:51

Tomcat -- 安全认证 About</security-constraint>
　　凡是做过WEB项目的都知道，一但涉及用户，我们不得不为用户登录写一堆繁杂的验证代码。
　　当然Spring AOP的诞生为我们的权限管理提供了不少的便利。
　　甚至你也以用自己写的Filter（过滤器）来对你的程序进行登录时的验证。
　　今天在这里和大家分享一种更为简便的方法，最原始的认证方式，它就是Java Web的安全验证机制。
      这种机制是对立地WEB的容器之上的，如Tomcat,JBoss等，你只须在你应用中的web.xml文件中做一定的配置就可以完成一个简单的登录验证的功能。确切地说WEB安全验证机制不仅可以让我们完成登录的功能，它更侧重于安全两字。你可以把受保护的资源全部定义在你的资源集里面，这样用户只有在取得了合法的身份验证之后才可以访问，它可以保护 WEB的整个应用、某个子文件夹、甚至于特定的一类文件，这将取决于你对资源集的定义。
      Tomcat容器支持以下四种认证方式：
     1. BASIC认证：这种方式被认为是最不安全的认证，因为它没有提供强烈的加密措施。
     <login-config>
          <auth-method>BASIC</auth-method>
    </login-config
    2. DIGEST认证：相比于BASIC认证，它是种比较安全的认证，它在认证时将请求数据通过MD5的加密方式进行认证。
     <login-config>
         <auth-method>DIGEST</auth-method>
     </login-config>
　　3.FORM认证：这是种基础自定义表单的认证，你可以指定登录时的验证表单。
      <login-config>
         <auth-method>FORM</auth-method>
         <form-login-config>
             <!—创建登录表单 -->
             <form-login-pages>/login.htm</form-login-pages>
             <!—创建错误表单 -->
             <form-error-pages>/error.html</form-error-pages>
          </form-login-config>
       </login-config>

       以下是login.htm的内容：（注意form的action还有input元素的name,这些是固定的）
       <form action="j_security_check" method="post">
           Username<input type="text" name="j_username" /><br />
           Password<input type="password" name="j_password" /><br />
          <input type="submit" />
       </form>
    4.CLIENT-CERT认证：这是一种基于客户端证书的认证方式，比较安全。但缺陷是在没有安全证书的客户端无法使用。
    <login-config>
         <auth-method>CLIENT-CERT</auth-method>
    </login-config>
　　下面介绍一下，配置认证的步骤：
     1.定义角色：这些角色可以是TOMCAT的tomcat-user.xml文件中定义的默认角色及用户，也可以是自己创建的数据库角色与用户表。以下分别介绍：
     1.1 基本TOMCAT已有用户及角色的认证配置：
     tomcat-users.xml中的role元素
    <tomcat-users>
      <role rolename=”Admin”/>
      <role rolename=”Manager”/>
      <user username=”admin”password=”admin” role=”Admin, Manager”/>
    </tomcat-users>
    web.xml文件中的security-role元素
    <security-role>
    <!—该角色须在tomcat-users.xml定义过-->
        <role-name>Admin</role-name>
    </security-role>
　　1.2 基本自定义数据库用户表的认证配置：
     如果你想基于自己定义的数据表进行认证，那你得在META-INF文件夹下创建一个名为 context.xml文件，配置如下内容：
　　<?xml version="1.0" encoding="UTF-8"?>
    <Context path="/mycms">
    <Realm className="org.apache.catalina.realm.JDBCRealm"
                 connectionName="root"
                 connectionPassword="123456"
                 connectionURL="jdbc:mysql://localhost:3306/mycms"
                 driverName="com.mysql.jdbc.Driver"
                 roleNameCol="rolename"
                 userCredCol="password"
                 userNameCol="username"
                 userRoleTable="mc_userroles"
                 userTable="mc_users"/>
      </Context>
     这里配置了数据库的连接信息以及指定了认证的用户表及角色表。
     2 定义资源/方法约束
     在web.xml文件中定义如元素：
     <security-constraint>
        <display-name>MyCMS</display-name>
        <web-resource-collection>
            <web-resource-name>Protected Area</web-resource-name>
            
            <url-pattern>/admin/*</url-pattern>
        </web-resource-collection>
        <auth-constraint>
            
            <role-name>Admin</role-name>
        </auth-constraint>
    </security-constraint>
    
    <login-config>
        <auth-method>BASIC</auth-method>
        <realm-name>MyCMS</realm-name>
    </login-config>

    
    <security-role>
        <description>
            The role that is required to log in to the Administration Application
        </description>
        <role-name>Admin</role-name>
    </security-role>
     至此我们基本TOMCAT的安全认证配置就完成了。至于其它三种方式，配置类似，可以参考2中定义的web.xml文件
　　公司的老系统还会用这种认证方式。
　　如果给我开发的话，我会选择shiro安全框架。
　　转自：http://www.cnblogs.com/yan5lang/archive/2010/09/25/1834364.html

账号		自动登录	找回密码
密码			立即注册

wirelessnetview好用的无线分析工具

Red Hat RHCE 8 (EX294) Cert Guide

Shell从入门到精通（阿良）

亿图图示专家(EDraw Max) V7.9 中文破解版

zabbix3.4.1安装部署+微信推送信息+大屏显

Red Hat OpenShift I: Containers & Kubern

2025 年，C++ 还能“硬核”多久？

[经验分享] web.xml和Tomcat下的安全认证

浏览过的版块

扫码加入运维网微信交流群