ServletConstraint 限制Tomcat访问资源

本文介绍如何通过web.xml文件及注解配置特定HTTP方法的安全约束,确保只有指定角色的用户可以访问特定资源。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. web.xml中配置

    <security-constraint>
        <web-resource-collection>
            <web-resource-name>jsp constraint</web-resource-name>
            <url-pattern>/pages/*</url-pattern>
            <!--<http-method>POST</http-method>-->
            <http-method>GET</http-method>
            <!--<http-method>HEAD</http-method>-->
            <!--<http-method>PUT</http-method>-->
            <!--<http-method>DELETE</http-method>-->
            <!--<http-method>TRACE</http-method>-->
            <!--<http-method>CONNECT</http-method>-->
            <!--<http-method>OPTIONS</http-method>-->
        </web-resource-collection>
        <auth-constraint>
            <role-name>manager</role-name>
        </auth-constraint>
    </security-constraint>
    <login-config>
        <auth-method>DIGEST</auth-method>
        <realm-name>ServletJsp manager Application</realm-name>
        <!--<auth-method>FORM</auth-method>-->
        <!--<realm-name>ServletJsp manager Application</realm-name>-->
        <!--<form-login-config>-->
            <!--<form-login-page>/WEB-INF/pages/chapter15/CheckLogin.jsp</form-login-page>-->
            <!--<form-error-page>/WEB-INF/pages/chapter15/CheckError.jsp</form-error-page>-->
        <!--</form-login-config>-->
    </login-config>
    <security-role>
        <description>The role that is required to log in to the Manager
            Application
        </description>
        <role-name>manager</role-name>
    </security-role>
解释:HTTP GET方法只允许manager角色的用户访问,其他方法不受限制

2. 注解配置(需要与<login-config>配置配合使用)

1)上个配置对应的某个servlet的等价注解配置为:

@SecurityConstraint(httpMethodConstraint=@HttpMethodConstrain(value = "GET", rollsAllowed = "manager"))

注解解释:HTTP GET方法只允许manager角色的用户访问,其他方法不受限制

@SecurityConstraint(httpMethodConstraint=@HttpMethodConstrain(value = "GET"))

注解解释:HTTP GET方法只允许任何角色的用户访问,其他方法不受限制

@SecurityConstraint(value = @HttpConstraint(rollsAllowed = "manager")

注解解释:HTTP方法只允许manager角色的用户访问

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值