web 安全认证-角色 权限 模块分配

最新推荐文章于 2024-11-29 07:35:45 发布
原创 最新推荐文章于 2024-11-29 07:35:45 发布 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web #insert #数据库 #jboss #user #encoding

本文介绍了web应用的安全认证配置,包括在web.xml中设置登录方式、定义角色和资源约束,以及在JBoss和Tomcat中使用不同方式进行用户身份验证。详细讲解了如何在数据库中存储用户和角色信息,并通过 ejb 的注解实现角色权限控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

所有的web的认证在验证的配置的web.xml文件基本上一致:

1.配置web.xml

<!--登录方式-->

 <login-config>
   <auth-method>BASIC</auth-method>   <!--BASIC基本的弹出输入框-->
 </login-config>
 <!--  定义角色 -->
 <security-role>
  <role-name>leader</role-name>
 </security-role>
 <security-role>
  <role-name>employs</role-name>
 </security-role>
 <!-- 管理模块和角色绑定 -->
 <security-constraint>
  <web-resource-collection>
   <web-resource-name>list module</web-resource-name>  <!--起名-->
   <url-pattern>/list/*</url-pattern>

                                           <!--使用区域[可以配置多个,从而使你做的更精确]-->
   <http-method>GET</http-method>                                  <!--请求方式-->
   <http-method>POST</http-method>
  </web-resource-collection>
  <auth-constraint>                                        <!--使用哪种角色-->
   <role-name>leader</role-name>
   <role-name>employs</role-name>
  </auth-constraint>
 </security-constraint>
 <security-constraint>
  <web-resource-collection>
   <web-resource-name>manager module</web-resource-name>
   <url-pattern>/manager/*</url-pattern>
   <http-method>GET</http-method>
   <http-method>POST</http-method>
  </web-resource-collection>
  <auth-constraint>
   <role-name>leader</role-name>
  </auth-constraint>
 </security-constraint>

2.创建文件

      在webRoot下建立list和manager文件夹,并在其建立几个jsp页面.

      insert.jsp写几个超链接,分别连接到各个文件夹下的jsp页面.

 

 

<!----------------------------------jboss和tomcat的使用------------------------------->

 

1.JOBSS的文件认证配置,默认的domain:other:读取src的下面两个配置文件

    users.properties

                         username=password

                                   zhouhr=888888

                                   eylen=888888 

                                   zhr=888888

    roles.properties

                         username=roles

                                   zhouhr=leader

                                   eylen=employs 

                                   zhr=employs

 

2.tomcat使用数据库:

      配置tomcat/conf/server.xml

      整个tomcat只能使用一种方式认证:要不配置文件,要不连接数据库。所以要将之前的方式注释:

        <!--
   <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
             resourceName="UserDatabase"/>
   -->

    配置已数据库相关的realm,再此我使用mysql数据库,[oracle数据库也类似,直接改它提供的(注释)]

         <Realm  className="org.apache.catalina.realm.JDBCRealm"
             driverName="org.gjt.mm.mysql.Driver"
          connectionURL="jdbc:mysql://localhost/web"
         connectionName="root" connectionPassword="919"
              userTable="users" userNameCol="user_name" userCredCol="user_pass"
          userRoleTable="user_roles" roleNameCol="role_name" />

 

 

在Mysql数据库中建数据库:create database web;

建表:create table users(user_name varchar(20),user_pass varchar(20));

         create table user_roles(user_name varchar(20),role_name varchar(20));

插入数据:

          insert into users values('zhouhr','888888');

          insert into users values('eylen','888888');

          insert into users values('zhr','888888');

          insert into user_roles values('zhouhr','leader');

          insert into user_roles values('eylen',employs');

          insert into user_roles values('zhr','employs');

                                 

二、jboss配置domain使用数据源

 

   

.

jboss默认的domainother

默认读取src下的users.properties;roles.peroperties

为了我们根据自己的数据去角色分配我们要定义自己的domain

jboss-4.2.0.GA/server/default/conf

login-config.xml

<application-policy name = "myDomain">

<authentication>

<login-module

code = "org.jboss.security.auth.spi.DatabaseServerLoginModule"

flag = "required">

<module-option

name = "unauthenticatedIdentity">guest</module-option>

<module-option

name = "dsJndiName">java:/DefaultDS</module-option>

<module-option name = "principalsQuery">

SELECT PASSWD FROM USERS WHERE USERID=?

</module-option>

<module-option name = "rolesQuery">

SELECT ROLEID, 'Roles' FROM ROLES WHERE USERID=?

</module-option>

</login-module>

</authentication>

</application-policy>

java:/DefaultDS jboss的指定的数据源:找到:

JMX Console  àdatabase=localDB,service=Hypersonic à

void startDatabaseManager()

MBean Operation.

点击invoke将弹出数据库管理器,

DefaultDS数据源指向就是这里的数据库,根据上面的角色分配建立表:

 create table users(userid varchar2(20),passwd varchar2(20));

create table roles(userid varchar2(20),roleid varhcar2(20));

 

增加dtd文件jboss-wed_4_2.dtd jboss-service_4_2.dtd;jboss_4_2.dtd

 

       Location:文件位置

Key Type:  -//JBoss//DTD Web Application 4.2//EN

Key: http://www.jboss.org/j2ee/dtd/jboss-web_4_2.dtd

META-INF下建立jboss-web.xml,jboss.xml

============jboss-web.xml=================

<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE jboss-web PUBLIC "http://www.jboss.org/j2ee/dtd/jboss-web_4_2.dtd" "jboss-web_4_2.dtd" >

<jboss-web>

<security-domain>

java:JAAS/myDomain

</security-domain>

</jboss-web>

============jboss.xml=================

<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE jboss PUBLIC "http://www.jboss.org/j2ee/dtd/jboss_4_2.dtd" "jboss_4_2.dtd" >

<jboss>

<security-domain>myDomain</security-domain>

<unauthenticated-principal>guest</unauthenticated-principa>

</jboss>

二、自己定义的myDomaim使用自己定义的数据源:

1)    将驱动jar复制到jboss-4.2.0.GA/server/default/lib

2)    jboss-4.2.0.GA/docs/examples/jca     找到你要需要的数据库配置数据源的模版,[mysql-ds.xml]

/jboss-4.2.0.GA/server/default/deploy

 修改数据源配置

<?xml version="1.0" encoding="UTF-8"?>

<datasources>

<local-tx-datasource>

<jndi-name>MySQL</jndi-name>

<connection-url>jdbc:mysql://127.0.0.1:3306/test

</connection-url>

<driver-class>com.mysql.jdbc.Driver</driver-class>

<user-name>root</user-name>

<password>919</password>

<exception-sorter-class-name>

org.jboss.resource.adapter.jdbc.vendor.MySQLExceptionSorter

</exception-sorter-class-name>

<metadata>

<type-mapping>mySQL</type-mapping>

</metadata>

</local-tx-datasource>

</datasources>

==============================================================

配置完成:

create table users(userid varchar2(20),passwd varchar2(20));

create table roles(userid varchar2(20),roleid varhcar2(20));

insert into users(‘zhouhr’,’8888’);

insert into users(‘eylen’,’8888’);

insert into users(‘zhr’,’8888’);

insert into roles(‘zhouhr’,’leader’);

insert into roles(‘eylen’,’employs’);

insert into roles(‘zhr’,’employs’);

 

 

 

在方法上的配置角色-权限:

import javax.annotation.security.DeclareRoles;

import javax.annotation.security.PermitAll;

import javax.annotation.security.RolesAllowed;

import javax.ejb.Stateless;

@Stateless

@DeclareRoles(value={"leader","employs"})

public class Security implements SecurityRemote {

@PermitAll

public String all(){

       return "all";

    }

    @RolesAllowed(value={"leader","employs"})

    public String list(){

       return "list";

    }

    @RolesAllowed("leader")

    public String manager(){

       return "manager";

    }

}

====================================================================

import javax.naming.Context;

import javax.naming.InitialContext;

import javax.naming.NamingException;

import org.jboss.security.SecurityAssociation;

import org.jboss.security.SimplePrincipal;

public class SecurityTest {

    public static void main(String[] args) throws NamingException {

       Context ctx=new InitialContext();

       SecurityRemote sr=(SecurityRemote) ctx.lookup("Security/remote");

       SecurityAssociation.setPrincipal(new SimplePrincipal("eylen"));

       SecurityAssociation.setCredential("8888");

       try {

           System.out.println(sr.all());

           System.out.println(sr.list());

           System.out.println(sr.manager());

       } catch (Exception e) {

       }

    }

}

 

cs_zhouhr
关注
web.xml 中的 security-role 的運作剖析
移动开发与培训
03-11 446
如果在 tomcat 之上執行程式你撰寫的 security-role 到底有沒有用呢 ?當呼叫 isUserInRole 其實是去呼叫 RealmBase 中的 hasRole 透過 GenericPrincipal 去檢查GenericPrincipal gp = (GenericPrincipal) principal;boolean result = gp.hasRole(role);
基于Web角色权限系统
06-20
基于web权限系统,偶角色管理,用户管理,菜单管理等等。基于web权限系统,偶角色管理,用户管理,菜单管理等等。基于web权限系统,偶角色管理,用户管理,菜单管理等等。
Web开发中的用户角色权限设计总结
ful1021的专栏
10-09 2194
源地址 http://aiilive.blog.51cto.com/1925756/1297317 在Web开发中关于权限管理设计大抵涉及到两个方面:一:功能方面权限设计;二:资源方面权限设计。二者比较来看,功能方面权限的可重用性更高。 1.关于权限: 按照角色权限的最简单的设计 称 描述 用户 不具备管理功能 管理员 具备管理
WEB安全之web应用认证基本概念
u010879291的博客
06-06 566
一、http常见认证机制 1、基本认证: 1)客户端访问一个受http基本认证保护的资源 2)服务端返回一个状态码401or403:没有授权or没有权限登录,要求客户端提供用户和密码 3)客户端将输入的用户和密码进行base64编码后,采用非加密的明文形式给服务单,如:Authorization: Basic xxxxxxxxxx 4)如果认证成功,服务端返回相应数据请求成功的code码以及资...
security-constraint和四种认证类型
Hedwig的博客
07-06 3863
1. &lt;security-constraint&gt;&lt;security-constraint&gt; 的元素 &lt;http-method&gt; 是可选的,如果没有 &lt;http-method&gt; 元素,这表示将禁止所有 HTTP 方法访问相应的资源。 元素 &lt;auth-constraint&gt; 需要和 &lt;login-config&gt; 相配合使用,...
thinkphp5.0 权限认证管理模块 插件 RBAC AUTH权限认证管理-tp5auth.zip
11-06
在本案例中,"thinkphp5.0 权限认证管理模块 插件 RBAC AUTH权限认证管理-tp5auth.zip" 提供了一个RBAC(Role-Based Access Control,基于角色的访问控制)权限认证管理插件,用于帮助开发者实现细粒度的权限分配。...
计算机专业毕设精选-ASP.NET教育报表管理系统-权限管理模块(源代码+论文).rar
03-21
2. **角色分配与管理**:根据用户的职责和权限,系统支持为不同用户分配不同角色,实现精细化的权限控制。 3. **报表访问控制**:系统允许管理员为每个报表设置不同的访问权限,确保数据的安全性和隐私性。 4. **...
ASP.NET教育报表管理系统-权限管理模块(源代码+论文).zip
05-26
ASP.NET教育报表管理系统是一款专为教育领域定制的信息化解决方案,其权限管理模块是系统的核心组成部分,确保了数据的安全性和操作的合法性。该模块通常涉及到用户角色、操作权限、资源访问控制等多个方面,对于...
ASP.NET教育报表管理系统-权限管理模块(源代码+论文)
09-29
综上所述,ASP.NET教育报表管理系统的权限管理模块是一个集用户管理、角色管理和权限分配于一体的综合系统,通过ASP.NET框架的特性实现高效的安全控制。配合源代码和论文,学习者不仅能了解理论知识,还能通过实践...
J2EE安全策略:为tomcat页面设置访问权限[转]
ruowu的专栏
09-29 248
转: http://www.blogjava.net/asktalk/archive/2005/07/23/8221.aspx   在web应用中,对页面的访问控制通常通过程序来控制,流程为:登录 -&gt; 设置session -&gt; 访问受限页面时检查session是否存在,如果不存在,禁止访问 对于较小型的web应用,可以通过tomcat内置的访问控制机制来实现权限控制。采用这种...
Tomcat(46)如何在Tomcat中配置安全约束?
最新发布
qq_43012298的博客
11-29 581
web.xml中,你可以定义一个或多个安全约束。每个安全约束包括一个,一个,和一个可选的。通过在web.xml中配置安全约束,你可以控制哪些用户可以访问特定的URL,并确保数据传输的安全性。这通常与Tomcat的用户和角色管理结合使用,以实现完整的访问控制。确保定期审查和更新这些配置,以维护应用程序的安全性。
JavaWebweb.xml标签元素(二)
茅坤宝骏氹的博客
05-24 975
九、session-config    为Web应用中的javax.servlet.http.HttpSession对象定义参数session-config-session-timeout?    session-timeout元素用来指定默认的会话超时时间间隔,以分钟为单位。该元素值必须为整数。如果session-timeout元素的值为零或负数,则表示会话将永远不会超时。XML语法:&lt;s...
web.xml配置详解
记录成长的每一步
10-18 591
web.xml配置详解 部署描述符实际上是一个XML文件,包含了很多描述servlet/JSP应用的各个方面的元素,如servlet注册、servlet映射以及监听器注册。部署描述符从下面的XML头开始: 这个头指定了XML的版本号以及所使用的编码。头的下面是DOCTYP
安全注释和授权在 GlassFish 和 Java EE 5 SDK 中的应用
三味书屋
09-11 320
By Shing Wai Chan, 7/14/08   安全性对于企业环境非常重要。在 Java EE 5 / GlassFish 环境中,您可以通过以下几种方式实现安全性: 传输层安全性 (TLS) / 安全套接字层 (SSL) 技术身份验证 (Authentication) 和授权 (Authorization)消息层安全性(仅适用于 GlassFish 中的 Web ...
快速创建springBoot启动报错Failed to start component [StandardEngine[Tomcat].StandardHost[localhost]]
daisyuhongbo的博客
09-02 1848
1.可能原因: jdk版本和springBoot的最新版本不匹配:jdk为1.8,报错的pom文件中springBoot版本为2.0.4,将springBoot的版本改为1.5.9问题解决 &lt;parent&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-s...
启动Tomcat报错:A child container failed during start
热门推荐
问知青云路的博客
05-12 1万+
在之前的工作和学习当中,有碰到过很多未知的,在当时看来十分令人疑惑的问题。当时的解决手段简单粗暴,就是直接百度,搜到对应的解决方案,直接抄过来试试,不行再换,直到问题消失,程序可以正常跑了,立马就不管不问了,认为解决了问题。其实这样很不好,一方面是问题消失了,但并不是真正的被解决了。另一方面则是,自己对这个问题没有更深的感悟和记录,以后碰到同样或者类似的问题,还是没有掌握解决的方法。只依靠百度搜索...
web.xml文件中的7个错误的安全配置
weixin_30673611的博客
01-29 366
关于Java的web.xml文件中配置认证和授权有大 量 的 文章。本文不再去重新讲解如何配置角色、保护web资源和设置不同类型的认证,让我们来看看web.xml文件中的一些常见的安全错误配置。 (1) 自定义的错误页面没有配置 默认情况下,Java Web应用在发生错误时会将详细的错误信息展示出来,这将暴露服务器版本和详细的堆栈信息,在有些情况下,甚至会显示Java代码的代码片段。这些信息对...
Web 后台项目,权限如何定义、设置、使用:菜单权限、按钮权限 ts element-ui-Plus
学习笔记
04-03 2618
做一个后台管理项目,里面需要用到权限管理。这里说一下权限定义的大概,代码不多,主要讲原理和如何实现它。
2535-springsecurity系列--关于授权角色“ROLE”前缀的问题
zzxx1994617的博客
07-24 6788
版本信息 &lt;parent&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-parent&lt;/artifactId&gt; &lt;version&gt;1.5.14.RELEASE&lt;/version&gt
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值