devbox
空白诗007
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

学习记录 -- web.xml中security-constraint配置测试

作者:空白诗007 | 2024-08-10 00:27:18

security-constraint配置

在做web项目时由于想给webRoot下的jsp文件进行安全保护,控制不允许直接对jsp的访问,于是找到了tomcat的安全认证机制,只需要在web.xml中进行一定的配置即可,非常方便。

1.因为使用了SpringMVC,这里先给出SpringMVC配置文件中的视图解析器配置


  1.     <bean class="org.springframework.web.servlet.view.InternalResourceViewResolver">
  2.         <!-- 这里的配置我的理解是自动给后面action的方法return的字符串加上前缀和后缀,变成一个 可用的url地址 -->
  3.         <!--<property name="prefix" value="/WEB-INF/jsp/" />-->
  4.         <property name="prefix" value="/views" />
  5.         <property name="suffix" value=".jsp" />
  6.         <!-- InternalResourceViewResolver需要最低的优先级(最大order值) -->
  7.         <property name="order" value="2" />
  8.     </bean>

2.然后去配置security-constraint,因为tomcat安全认证有四种类型,我这里使用了BASIC

  1.     <security-constraint>
  2.         <display-name>interceptor-jsp</display-name>
  3.         <web-resource-collection>
  4.             <web-resource-name>JSPs</web-resource-name>
  5.             <url-pattern>/views/resource/*</url-pattern><!-- 拒绝直接访问web文件夹下的所有页面 -->
  6.         </web-resource-collection>
  7.         <auth-constraint/>
  8.     </security-constraint>
  9.     <!-- 四种认证类型 -->
  10.     <!-- BASIC:HTTP规范,Base64 -->
  11.     <login-config>
  12.         <auth-method>BASIC</auth-method>
  13.     </login-config>


下面是四种类型的安全认证的介绍:

  1.     <!-- 四种认证类型 -->
  2.     <!-- BASIC:HTTP规范,Base64 这种方式被认为是最不安全的认证,因为它没有提供强烈的加密措施 -->
  3.     <login-config>
  4.         <auth-method>BASIC</auth-method>
  5.     </login-config>
  6.     <!-- DIGEST:HTTP规范,数据完整性强一些,但不是SSL 相比于BASIC认证,它是种比较安全的认证,它在认证时将请求数据 通过MD5的加密方式进行认证 -->
  7.     <login-config>
  8.         <auth-method>DIGEST</auth-method>
  9.     </login-config>
  10.     <!-- CLIENT-CERT:J2EE规范,数据完整性很强,公共钥匙(PKC) 这是一种基于客户端证书的认证方式,比较安全。但缺陷是在没有安全证书的客户端无法使用 -->
  11.     <login-config>
  12.         <auth-method>CLIENT-CERT</auth-method>
  13.     </login-config>
  14.     <!-- FORM:J2EE规范,数据完整性非常弱,没有加密,允许有定制的登录界面 这是种基础自定义表单的认证,你可以指定登录时的验证表单 -->
  15.     <login-config>
  16.         <auth-method>FORM</auth-method>
  17.         <form-login-config>
  18.             <form-login-page>/login.html</form-login-page>
  19.             <form-error-page>/error.jsp</form-error-page>
  20.         </form-login-config>
  21.     </login-config>

3.主要的目录结构


对resource文件夹下的文件进行了安全保护,test.jsp通过后台Controller跳转,jsResource.jsp直接访问,结果如下

4.运行结果




声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/空白诗007/article/detail/955851
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号