声明式安全(2)——BASIC身份验证方式

最新推荐文章于 2025-01-08 15:04:22 发布
最新推荐文章于 2025-01-08 15:04:22 发布
阅读量168 收藏
点赞数
文章标签: java web.xml
本文详细介绍了如何在应用中配置BASIC验证,并通过声明式安全实现对特定资源的访问控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、步骤

  1. 设置用户名、密码和角色
  2. 告诉服务器目前正在使用BASIC验证。指定域的名称
  3. 指定要保护的URL
  4. 列出可以访问的角色
  5. 指定哪些URL只能通过SSL访问
  6. 禁用invoker servlet

二、实例

  1. 将D:\Test\Servers\Tomcat v6.0 Server at localhost-config/tomcat-users.xml文件当中的
    <tomcat-users>
    <role rolename="tomcat"/>
    <role rolename="role1"/>
    <user password="tomcat" roles="tomcat" username="tomcat"/>
    <user password="tomcat" roles="tomcat,role1" username="both"/>
    <user password="tomcat" roles="role1" username="role1"/>
    </tomcat-users>注释去掉,这样我们就有了tomcat和role1这两个角色,同时三个用户。
  2. 在web.xml文件当中加入如下代码:
    我们要保护的资源
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>ssl</web-resource-name>
    <url-pattern>/ssl/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
    <role-name>tomcat</role-name>
    </auth-constraint>
    <!-- <user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint> -->
    </security-constraint>

    声明能够访问这些资源的角色
    <security-role>
    <role-name>tomcat</role-name>
    </security-role>

    告诉服务器使用BASIC验证
    <login-config>
    <auth-method>BASIC</auth-method>
    <realm-name>Internet</realm-name>
    </login-config>
  3. 在ssl文件夹下建立要访问的页面即可

三、说明

声明式安全是基于服务器的安全,其对于servlet和jsp也完全透明的,servlet和jsp页面无需任何改动。用户登录不成功时返回401
iteye_6233
关注
SpringBoot集成OAuth2身份验证机制
AI天才研究院
08-01 2999
随着互联网技术的飞速发展、应用场景的多样化以及对安全性的需求越来越高,越来越多的人开始关注并实践“OAuth2”(开放授权)协议。在本文中,我将会通过对 Spring Boot 的集成 OAuth2 身份验证机制,来实现身份认证功能的支持。OAuth2 是一种授权框架协议,它为用户资源提供一个安全的访问通道,让用户可以分享他/她的账号信息给第三方应用或者网站,而不用暴露自己的密码等敏感信息。
【漏洞挖掘】——144、 逻辑漏洞之OAuth 2.0认证缺陷刨析()
Fly_鹏程万里
07-29 173
OpenID Connect扩展了OAuth协议并提供了一个位于基本OAuth实现之上的专用身份和身份验证层,它添加了一些简单的功能,可以更好地支持OAuth的身份验证用例。OAuth最初的设计并没有考虑到身份验证,它旨在成为在应用程序之间为特定资源委派授权的一种方式,然而许多网站开始自定义OAuth以用作身份验证机制,为了实现这一点他们通常请求对一些基本用户数据的读取访问权限,如果他们被授予此访问权限,则假设用户在OAuth提供程序方面对自己进行了身份验证
【权限管理】Basic 认证(Basic Authentication)
IT古董
01-08 1560
Basic 认证(Basic Authentication)是一种简单的 HTTP 协议认证方式,它通过将用户名和密码与 HTTP 请求一起发送来验证用户身份。这种方式的特点是简单实现,但安全性较低,因此在使用时通常需要配合 HTTPS 来确保数据的安全性。
声明式安全(1)——基于表单的验证
java开发指南博客 【转载】
02-10 161
一、步骤 设置用户名、密码和角色 告诉服务器目前正在使用基于表单的验证。指定login页面和login-error页面 创建登陆页面和登陆失败页面 指定要保护的URL 列出可以访问的角色 指定哪些URL只能通过SSL访问 禁用invoker servlet 二、实例 将D:\Test\Servers\Tomcat v6.0 Server at localhost-config...
验证方式 Basic Auth,
Knowlege的专栏
12-27 915
Basic Auth Basic Auth简单点说明就是每次请求API时都提供用户的username和password。【base64encode(username+":"+password)】 。这种方式优点和缺点都很明显。 优点: u 使用非常简单, u 开发和调试工作简单, u 没有复杂的页面跳转逻辑和交互过程; u 更利于发起方控制; 缺点: u 安全性低,每次都需要传递...
Web Service安全(一)——Basic验证
iteye_19249的博客
05-24 752
最简单的WebService安全要求,就是要求HTTP传输层的Basic验证。 在WebLogic中,只要你设置你的WebService只向个别角色或者用户开放,那么,客户端就必须提供某种验证资料,例如用户名和密码。 服务端的做法有两种: 一:在代码上设置这个安全要求 import weblogic.jws.security.RolesAllowed; import weblogi...
Basic 认证(Basic Authentication)是一种简单的 HTTP 认证机制,用户在请求中通过用户名和密码来验证身份。实现 Basic 认证的方法相对简单,下面是如何在不同环境中实现。
m0_58223765的博客
11-27 2305
Basic 认证(Basic Authentication)是一种简单的 HTTP 认证机制,用户在请求中通过用户名和密码来验证身份。实现 Basic 认证的方法相对简单,下面是如何在不同环境中实现和使用 Basic 认证的步骤。Basic 认证通过在 HTTP 请求头中添加一个特殊的 字段来传递用户名和密码。用户名和密码会被拼接成 的格式,然后通过 Base64 编码进行编码,最终生成的字符串作为 HTTP 请求头的一部分。例如,用户名是 ,密码是 ,将这两者拼接为 ,然后用 Base64 编码后变成
身份验证机制】:认证不再难——Requests库中的身份验证技术
身份验证是信息安全的基石,它确保用户确实是其所声称的身份。身份验证机制分为多种,从简单的密码登录到复杂的多因素认证。在网络通信中,HTTP协议定义了几种身份验证方法,如基本认证(Basic Auth)、摘要认证...
网络安全渗透测试——名词解释
weixin_43778463的博客
10-12 3903
常用术语解释
CODING 代码资产安全系列之 —— 构建全链路安全能力,守护代码资产安全
CODING 博客
12-01 3019
为代码资产管理者提供一个审视安全的基本框架
接口测试 之 HTTP 1.1 认证之BASIC认证
weixin_39472415的博客
09-22 2079
basic认证介绍认证步骤步骤图解BASIC 认证的的缺点测试:认证失败测试:认证成功 介绍 BASIC 认证(基本认证)是从HTTP/1. 1 就定义的认证方式,是Web服务器与通信客户端之间进行的认证 认证步骤 步骤1:当请求的资源需要 BASIC 认证时,服务器会随状态码 401 Authorization Required,返回 WWW-Authenticate 首部字段(响应头)的响应。该字段内包含认证的方式BASIC)及Request-URI 安全域字符串(realm)。 步骤2:接收到状
BASIC认证
weixin_34144848的博客
12-25 531
basic认证(基本认证)是从http/1.0就定义的认证方式。即便是现在仍有一部分的网站会使用这种认证方式。认证步骤步骤1 :当请求的资源需要BASIC认证时,服务器会随状态码401Authorization Requireed,返回带WWW-Authenticate首部字段的响应。该字段内包含认证的方式BASIC)及 Request-URI安全域字符串(realm)步骤2 :接收到状态码40...
basic认证
lovebirdegg's world
03-23 433
第 14 章 basic认证 basic 认证是另一个常用的认证方式,与表单认证不同的是,basic认证常用于无状态客户端的验证,比如HttpInvoker或者Web Service的认证,这种场景的特点是客户端每次访问应用时,都在请求头部携带认证信息,一般就是用户名和密码,因为basic认证会传递明文,所以最 好使用https传输数据。 14.1. 配置basi...
SpringSecurity声明式安全访问控制解决方案的安全框架
Mouth_OF_Lie的博客
05-04 225
简介: Spring Security对Web安全性的支持大量地依赖于Servlet过滤器。 实际上是运用的springMVC的AOP实现的。(扩展性) 授权: ①角色授权 ②注销 ③记住我 ④登录 认证: ①从数据库认证 ②从内存认证 import org.springframework.beans.factory.annotation.Autowired...
web声明式安全验证
weixin_33984032的博客
08-18 173
2019独角兽企业重金招聘Python工程师标准>>> ...
实验:basic验证,组验证
weixin_34408717的博客
05-13 193
实验:basic验证 1 vim /etc/httpd/conf.d/test.conf 创建一个文件<directory /var/www/html/admin/>authtype basic 基于账号密码验证登录AuthName "admin Page" AuthUse...
http的basic 认证方式
wang0907的博客
04-28 7704
basic auth是一种http协议规范中的一种认证方式,即一种证明你就是你的方式。更进一步的它是一种规范,这种规范是这样子,如果是服务端使用了basic auth认证方式来处理用户请求的话,会从header中获取的头信息,如果是没有该头信息或者是头信息不正确,则会返回401状态码,并添加响应头。如果是浏览器收到了服务端的401响应,并且判断有www-authenticate头信息的话则会弹出自带的用户名密码录入框让用户录入信息,用户录入后浏览器会对录入的信息按照格式。
HTTP认证介绍(Basic基本认证和Digest摘要认证)和搭建windows HTTP服务器
mayue_web的博客
09-26 4462
HTTP认证是一种用于保护Web应用程序的一种身份验证机制。它通过在HTTP请求的头部添加认证信息,来验证用户的身份和权限。HTTP认证可以用于保护敏感信息,限制访问某些资源,或者在访问某些操作之前要求用户提供凭据。HTTP认证有几种不同的认证方式,包括:Basic认证:Basic认证是最常见的HTTP认证方式之一。在Basic认证中,客户端发送请求时,会在请求头中包含一个"Authorization"字段,该字段包含了经过Base64编码的用户名和密码。
Basic协议认证原理和实现
tanqingfu1的博客
08-16 1415
在HTTP协议进行通信的过程中,HTTP协议定义了基本认证过程以允许HTTP服务器对WEB浏览器进行用户身份证的方法,当一个客户端向HTTP服务器进行数据请求时,如果客户端未被认证,则HTTP服务器将通过基本认证过程对客户端的用户名及密码进行验证,以决定用户是否合法。客户端在接收到HTTP服务器的身份认证要求后:会提示用户输入用户名及蜜码.然后将用户名及密码以BASE64加密;......
springsecurity整合oauth2密码模式
最新发布
02-19
### 实现Spring Security OAuth2密码授权模式整合 为了在Spring Security中实现OAuth2密码授权模式的整合,需遵循一系列配置和编码实践。具体来说,在应用程序中引入必要的依赖项之后,还需设置认证服务器以及客户端的相关属性。 #### 添加Maven依赖 首先,在`pom.xml`文件中加入支持OAuth2自动配置的支持: ```xml <dependency> <groupId>org.springframework.security.oauth.boot</groupId> <artifactId>spring-security-oauth2-autoconfigure</artifactId> <version>2.1.3.RELEASE</version> </dependency> ``` 此操作确保了应用能够利用Spring Boot Starter简化OAuth2组件的初始化过程[^3]。 #### 配置认证服务器 创建一个类来定义认证服务器的行为,并通过注解指定其作为资源服务端的角色。对于密码授权模式而言,重要的是要允许特定类型的令牌授予请求——即password类型。这通常涉及到重写默认的安全配置并注册自定义化的TokenEndpointAuthenticationFilter过滤器以处理来自用户的凭证提交。 ```java @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { @Autowired private AuthenticationManager authenticationManager; @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.inMemory() .withClient("my-trusted-client") .authorizedGrantTypes("password", "authorization_code", "refresh_token") .authorities("ROLE_CLIENT", "ROLE_TRUSTED_CLIENT") .scopes("read", "write", "trust") .resourceIds("oauth2-resource") .secret("{noop}secret"); } @Bean @Primary public DefaultTokenServices tokenServices() { final DefaultTokenServices defaultTokenServices = new DefaultTokenServices(); defaultTokenServices.setSupportRefreshToken(true); return defaultTokenServices; } } ``` 上述代码片段展示了如何声明内存中的客户端详情服务实例及其权限范围;同时也启用了刷新令牌的功能以便于长期访问控制[^1]。 #### 客户端发起token请求 当一切准备就绪后,客户端可以通过POST方法向`/auth/oauth/token`发送HTTP请求获取access token。此时应携带基本身份验证头信息(Base64编码后的client_id:client_secret),并将用户名、密码以及其他必要参数放在查询字符串或表单数据内传递给服务器。 ```javascript return request({ url: '/auth/oauth/token', headers: { 'isToken': false, 'Authorization': 'Basic YWRtaW46YWRtaW4=' // Base64 encoded admin:admin }, method: 'post', params: { username: 'yourUsernameHere', password: 'yourPasswordHere', grant_type: 'password', scope: 'read write' } }); ``` 这段JavaScript AJAX调用模拟了一个典型的场景,其中包含了必需的身份验证头部字段与body内的参数列表[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值