devbox
代码探险家
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

web.xml中的Security Constraint元素

作者:代码探险家 | 2024-08-10 00:26:27

security-constraint

<security-constriant>元素是tomcat用来指示服务器对客户端访问服务端资源进行安全约束。如果不通过验证则报403错误

<security-constraint>

    <web-resource-collection>

      <web-resource-name>test</web-resource-name>

      <url-pattern>/index.jsp</url-pattern>

      <http-method>GET</http-method>

      <http-method>POST</http-method>

      <http-method>PUT</http-method>

    </web-resource-collection>

    <auth-constraint>

      <role-name>pluto</role-name>

    </auth-constraint>

  </security-constraint>

  

  <login-config>

    <auth-method>FORM</auth-method>

    <form-login-config>·

      <form-login-page>/login.jsp</form-login-page>

      <form-error-page>/login.jsp?error=1</form-error-page>

    </form-login-config>

  </login-config>

 

  <security-role>

    <role-name>pluto</role-name>

  </security-role> 

 

<security-constriant>包含4个可能的子元素,分别是:web-resource-collection、auth-constraint、user-data-constraint和display-name。

1.web-resource-collection 此元素确定要保护的资源,所有security-constraint元素都必须包含至少一个此项。此元素下面有一个给出任意标识名称的<web-resource-name>、一个确定要保护的URL的url-pattern元素、一个指出此保护所适用的HTTP命令(缺省为所有方法)的http-method元素和一个提供资料的可选description元素组成。如上例中就是当你以GET、POST、PUT方法访问"/index.jsp"时将被限制。我们平时默认是GET方法访问如果把<http-method>GET</http-method>这行注释掉就不会报错了

 

2.auth-constraint元素指出哪些用户应该具有受保护资源的访问权。此元素应该包含一个或多个标识具有访问权限的用户role-name元素,以及可选的description元素。如果security-constraint中没有auth-constraint子元素,任何身份的用户都可以访问相应的资源,也就是说security-constraint这时实际上不起作用。此元素需要和<login-config>配合使用,<login-config>要紧跟security-constraint后面

 

3.user-data-constraint 此可选元素指出在访问相关资源时使用的传输层保护

 

 

<login-conifg>有四种认证类型

BASIC:HTTP规范,Base64

DIGEST:HTTP规范,数据完整性强一些,但不是SSL

CLIENT-CERT:J2EE规范,数据完整性很强,公共钥匙(PKC)

FORM:J2EE规范,数据完整性非常弱,没有加密,允许有定制的登录界面

如上例,登录界面即login.jsp。这里的FORM方式需要说明的是,登录界面的固定元素

  1. <form name="loginform" method="post" action="j_security_check"> 
  2. <INPUT name="j_username" type="text"> 
  3. <INPUT name="j_password" TYPE="password"> 
  4. <input type="submit" value="登 录" > 
  5. </form>

 form的action必须是“j_security_check”,method="post",用户名name="j_username",密码name="j_password"这些都是固定的元素。

然后这里的username,password要填什么呢?tomcat的conf目录下有个tomcat-users.xml文件,里面可以添一行<user name="mao" password="mao" roles="tomcat,pluto"/>,这里的意思是tomcat和pluto角色的用户名密码都是“mao”。

现在访问"/index.jsp"界面,跳转到login.jsp,填写用户名、密码“mao”之后就能访问到index.jsp的内容了

 

 

还有一点很重要security-constraint只对外部访问有作用,对内部跳转是不起作用的。

比如访问一个servlet,如果是以response.sendRedirect("/xiangmuming/index.jsp")的方式,还是会报403错误,如果是以request.getRequestDispatcher("/index.jsp").forword(request,response)的方式跳转就能够访问了

 

request.getRequestDispatcher().forward(),是属于服务器跳转,地址栏地址不变,旧的request,response全部传给页面

request.sendRedirect(),属于页面跳转,相当于访问两次,地址改变,request,response全是新的,就是访问了两次

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/代码探险家/article/detail/955844
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号