Tomcat自带权限认证

最新推荐文章于 2025-05-27 20:40:35 发布
转载 最新推荐文章于 2025-05-27 20:40:35 发布 · 371 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/ccdvote/blog/68213
文章标签:

#java #数据库 #web.xml

       平时课堂上的方法都是用户输入账号密码然后到数据库中去匹配,整个过程都是我们自己写代码去完成的。但是servlet容器例如tomcat本身就带了这种认证的功能,而且很强大,甚至能控制到每个类每个方法。下面我们讨论一下最常用的基于Form表单的认证方式。

一、建立数据库,以 mysql 数据库为例:

CREATE DATABASE DEMO

二、建立表,表一共有三个,一个是用户表 userinfo,保存用户名和密码;一个是权限userrole,表保存权限角色;还有一个是用户和权限对照的表user_roles; 
CREATE TABLE `userinfo` (
  `username` varchar(45) NOT NULL,
  `password` varchar(45) NOT NULL,
  UNIQUE KEY `username_UNIQUE` (`username`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

CREATE TABLE `userrole` (
  `role` varchar(20) NOT NULL,
  UNIQUE KEY `iduserrole_UNIQUE` (`role`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
CREATE TABLE `user_roles` (
  `username` varchar(45) NOT NULL,
  `role` varchar(20) NOT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8

三、向表中插入数据

INSERT INTO `userinfo` VALUES ('user1','password1');
INSERT INTO `userrole` VALUES ('admin');
INSERT INTO `user_roles` VALUES ('user1','admin');

四、新建一个web工程 创建web工程

五、配置tomcat配置文件server.xml

在 <GlobalNamingResources></GlobalNamingResources>标记之间加入如下代码:

<Resource auth="Container" 
    description="User database that can be updated and saved" 
    factory="org.apache.catalina.users.MemoryUserDatabaseFactory" 
    name="UserDatabase" pathname="conf/tomcat-users.xml"
    type="org.apache.catalina.UserDatabase"/>
<Resource auth="Container" 
    driverClassName="com.mysql.jdbc.Driver" 
    type="javax.sql.DataSource"
    maxActive="4"
    name="jdbc/demo" 
    password="数据库密码" 
    url="jdbc:mysql://localhost:3306/demo" 
    username="root" 
    validationQuery="select 1 from userinfo"/>

在  <Engine defaultHost="localhost" name="Catalina"></Engine>标记之间加入如下代码:

<Realm className="org.apache.catalina.realm.LockOutRealm">
    <Realm className="org.apache.catalina.realm.DataSourceRealm"
    dataSourceName="jdbc/demo" 
    roleNameCol="ROLE" 
    userCredCol="PASSWORD" 
    userNameCol="USERNAME" 
    userRoleTable="USER_ROLES" 
    userTable="USERINFO"/>
</Realm>

 六、配置web.xml,描述需要保护的资源,以及需求的权限:

 

<security-constraint>
  	<web-resource-collection>
  		<web-resource-name>Protected Area</web-resource-name>
  		<url-pattern>/*</url-pattern>
  		<http-method>DELETE</http-method>
  		<http-method>GET</http-method>
  		<http-method>POST</http-method>
  		<http-method>PUT</http-method>
  	</web-resource-collection>
  	<auth-constraint>
  		<role-name>admin</role-name>
  	</auth-constraint>
  	<user-data-constraint>
  		<transport-guarantee>NONE</transport-guarantee>
  	</user-data-constraint>
  </security-constraint>
  
    <login-config>
    <auth-method>FORM</auth-method>
    <form-login-config>
      <form-login-page>/login.jsp</form-login-page>
      <form-error-page>/error.jsp</form-error-page>
    </form-login-config>
  </login-config>
  <resource-ref>
    <description>MySQL DB Connection Pool</description>
    <res-ref-name>jdbc/demo</res-ref-name>
    <res-type>javax.sql.DataSource</res-type>
    <res-auth>Container</res-auth>
    <res-sharing-scope>Shareable</res-sharing-scope>
  </resource-ref>

 七、建立登陆界面login.jsp(根据上面<form-login-page>中的配置)

<form action="j_security_check">
用户名<input name="j_username" id="j_username" type="text" />
密码<input name="j_password" id="j_password" type="password"/>
<input type="submit"   value="登录" />
</form>

注意:form标签的action值必须为j_security_check,同样用户名的name属性值必须为j_username,密码的name属性必须为j_password

八、建立登陆失败界面error.jsp

ERROR

页面随便写一些登陆失败的提示即可。

九、启动tomcat服务器

十、测试:

在浏览器输入http://localhost:8080/demo/index.html

这时就会跳转到登陆界面login.jsp,输入用户名和密码后tomcat会根据server.xml配置文件中指定的表和列去进行认证,认证成功即用户名、密码、权限均正确则返回用户请求的资源,例如上面的地址请求的index.html。如果用户名、密码、权限有一个不正确则不能认证成功。

十一、备注:

tomcat的认证十分强大,除包含Form表单的认证方式之外还包含智能卡等认证方式,通过对web.xml的配置可以精确的限制各种资源的访问权限。如果读者有兴许可以继续深入探索

 

 

 

转载于:https://my.oschina.net/ccdvote/blog/68213

chijie0732
关注
tomcat 8.0.52 免安装
07-19
9. **连接池**:Tomcat自带数据库连接池(Commons DBCP或Apache Tomcat JDBC Pool),可以配置数据源以提高数据库访问性能。 10. **集群和负载均衡**:通过配置server.xml中的Cluster和Engine元素,Tomcat可以...
Apache-tomcat-6.0.41
02-09
5. **Tomcat服务安装**:在Windows系统中,可以使用Tomcat自带的`service.bat`脚本来将Tomcat注册为服务,以便在启动计算机时自动启动Tomcat。在命令行中,进入`%CATALINA_HOME%\bin`目录,然后执行`service install...
Tomcat 基本认证
weixin_33769207的博客
12-21 315
像Apache一样,tomcat同样也可以对网站目录下的文件进行相应的认证操作;BASIC验证是一种常见的验证,这种验证的安全度不高,它的验证不同于表单类的验证,做法也很简单,主要用于Web方面的验证.如下详细介绍BASIC的验证.BASIC验证是一种常见的验证,这种验证的安全度不高,它的验证不同于表单类的验证,做法也很简单,主要用于Web方面的验证.如下详细介绍BASIC...
tomcat 权限认证实现的过程
weixin_33711647的博客
07-05 627
为什么80%的码农都做不了架构师?>>> ...
深入剖析Tomcat之安全认证体系揭秘
最新发布
wj_rdk的博客
05-27 862
本文深入解析了Tomcat应用服务器的安全认证体系架构。其核心组件包括:领域对象(Realm)作为用户身份验证的"把关人",主体对象(Principal)封装用户身份信息,登录配置(LoginConfig)定义认证方式,以及验证器(Authenticator)实现具体认证逻辑。文章详细阐述了当用户访问受保护资源时,各组件如何协同工作:验证器根据配置调用相应领域对象验证用户凭证,通过后生成主体对象。最后通过Maven项目示例,展示了如何在web.xml中配置BASIC认证和安全约束,并创建
tomcat配置数字证书
曾今拼命的想,现在却拼命的忘
09-21 2324
一、创建证书               用JDK自带的keytool工具生成证书: 命令:keytool -genkey -alias wsria -keyalg RSA -keystore d:/keys/wsriakey 无图不给力,有图有真相: 用keytool生成证书 具体的输入项图片中都有说明,有一点我要解释一下;在输入完密码后提示输入域名是我输入
tomcat中配置安全认证
JAVA-JS资源共享、技术交流平台
03-19 1597
Tomcat -- 安全认证 About 做过WEB项目的都知道,一但涉及用户,我们不得不为用户登录写一堆繁杂的验证代码。当然Spring AOP的诞生为我们的权限管理提供了不少的便利。甚至你也以用自己写的Filter(过滤器)来对你的程序进行登录时的验证。今天在这里和大家分享一种更为简便的方法,它就是Java Web的安全验证机制。       这种机制是对立地WEB的容器之上的,如
Tomcat 容器的安全认证
编程知识分享
06-03 1024
大量的 Web 应用都有安全相关的需求,正因如此,Servlet 规范建议容器要有满足这些需求的机制和基础设施,所以容器要对以下安全特性予以支持: 身份验证:验证授用户的用户名和密码 资源访问控制:限制某些资源只允许部分用户访问 数据完整性:能够证明数据在传输过程中未被第三方修改 机密性或数据隐私:传输加密(SSL),确保信息只能被信任用户访问 本文就以上问题,对 Tomcat 容器提供...
Web应用和Tomcat的集成1-BasicAuthentication
sunbeacher的博客
06-22 1332
Web应用部署在Tomcat时,一般有三层: (1)操作系统 (2)Tomcat容器层 (3)应用层 本文讲述Servlet和Tomcat集成模式第一章,Basic Authentication。优点实现简单,适用于适用于很多没有那么高统一要求的小微企业内网和家庭组网场景。
基于Tomcat和Axis2实现WebService双向认证
资源摘要信息:"Tomcat WebService双向认证是一种基于SSL/TLS协议的安全通信机制,旨在通过服务器与客户端之间的相互身份验证,确保Web服务在传输过程中的机密性、完整性与不可否认性。该技术通常应用于对安全性要求...
Tornado角色权限控制插件tor_access.zip
07-19
Python Tornado 的角色权限控件第三方插件。 支持:自动收集权限节点节点分组管理角色及超管角色示例代码:import tor_access @tor_access.needcheck(url=True) class IndexHandler(tornado.web.RequestHandler):     def get(self):         pass aclgroup = tor_access.ACLGroupNode('userdemo',u'系统管理') @tor_access.needcheck(url=True, group=aclgroup) class UserHandler(tornado.web.RequestHandler):     def get(self):         pass @tor_access.needcheck(url=True, category='categroyname') class UserInfoHandler(tornado.web.RequestHandler):     def get(self):         pass 标签:toraccess  安全相关框架
动态权限
stone_tomcate的博客
09-29 669
动态权限 实现思路 每次路由跳转都判断用户是否登录,登录了才会进行后续操作,否则直接跳到登录页面 浏览器中已经保存了用户登录信息,但是请求进入的页面是登录页面,直接进入到首页,实现免登录的功能 判断vuex中是否存在路由配置信息,如果存在直接放行,否则进行下一步操作。 如果vuex中不存在路由配置信息,就需要去后台请求当前用户对应角色的权限信息,根据权限信息生成可访问的路由表,并...
【原】HTTP 验证 Tomcat中进行基本验证 (Basic Authentication) 和摘要验证 (Digest Authentication)...
我是程序员,为了最后的阵地
09-11 619
HTTP 验证HTTP 协议提供验证机制来保护资源。当一个请求要求取得受保护的资源时,网页服务器回应一个 401 Unauthorized error 错误码。这个回应包含一个指定了验证方法和领域的 WWW-Authenticate 头信息。把这个领域想像成一个存储着用户名和密码的数据库,它将被用来标识受保护资源的有效的用户。比如,你试着去访问某个网站上标识为“Personal Files”的资...
Tomcat容器管理安全的几种验证方式
weixin_34337381的博客
05-21 336
为什么80%的码农都做不了架构师?>>> ...
tornado--用户权限装饰器
小新的博客
07-19 1911
base.py 用户权限装饰器 def user_roles(method): @functools.wraps(method) def wrapper(self, *args, **kwargs): roles = self.get_current_user_roles() flag = False not_check_u...
python 装饰器学习 校验权限
dandanfengyun的博客
01-30 1387
装饰器。。。理解还是有点模糊。摸透了再补充 class Person(): def __init__(self, name, quan): self.name = name self.quan = quan # 设置一个类表示个人, 有姓名 权限 两个属性 设定 读权限 1 写权限 2 执行权限4 三层 最外层设置该操作所需权限...
单点登录及权限
ZhuRiZheWuGe的博客
06-28 2805
#单点登录及权限 分布式系统要实现单点登录,通常将认证系统独立抽取出来,并且将用户身份信息存储在单独的存储介质中,考虑到性能需求,通常存储在redis中。 本项目使用Spring security Oauth2 #Oauth2 这是一个用户使用微信第三方登录的流程示意图,采用Oauth2认证 用户访问登录页面,点击微信登录,用户自己是在微信里信息的资源拥有者,这个时候出现一个二维码授页面,用户...
Tornado实战-用户登录与注册
全粘工程师
01-17 1707
Tornado实战-用户登录与注册 Python野路子关注 12018.08.02 00:13:00字数 27阅读 3,758 需要模块 pip install redis pip install packet 实现代码 app.py import tornado.ioloop #开启循环,让服务一直等待请求的到来 import tornado.web #web...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值