码迷,mamicode.com
首页 > Web开发 > 详细

web.xml 中的安全性配置

时间:2015-12-11 12:52:51      阅读:141      评论:0      收藏:0      [点我收藏+]

标签:

web.xml 中的代码

  1. <security-constraint>  
  2.   <display-name>  
  3.   baseporject</display-name>  
  4.   <web-resource-collection>  
  5.    <web-resource-name>baseproject</web-resource-name>  
  6.    <url-pattern>*.jsp</url-pattern>  
  7.    <url-pattern>*.do</url-pattern>  
  8.    <http-method>GET</http-method>  
  9.    <http-method>PUT</http-method>  
  10.    <http-method>HEAD</http-method>  
  11.    <http-method>TRACE</http-method>  
  12.    <http-method>POST</http-method>  
  13.    <http-method>DELETE</http-method>  
  14.    <http-method>OPTIONS</http-method>  
  15.   </web-resource-collection>  
  16.   <auth-constraint>  
  17.    <description>  
  18.    baseproject</description>  
  19.    <role-name>All Role</role-name>  
  20.   </auth-constraint>  
  21.   <user-data-constraint>  
  22.    <transport-guarantee>NONE</transport-guarantee>  
  23.   </user-data-constraint>  
  24.  </security-constraint>  
  25.  <login-config>  
Xml代码  技术分享
  1. <!--四种验证方式,附在最后有说明-->  
  2.   <auth-method>FORM</auth-method>  
  3.   <form-login-config>  
  4.    <form-login-page>/login.html</form-login-page>  
  5.    <form-error-page>/error.html</form-error-page>  
  6.   </form-login-config>  
  7.  </login-config>  
  8.  <security-role>  
  9.   <role-name>All Role</role-name>  
  10.  </security-role>  

 这里的security-constriaint元素的用途是用来指示服务器使用何种验证方法了.此元素在web.xml中应该出现在login-config的紧前面。它包含是个可能的子元素,分别是:web-resource-collection、auth-constraint、user-data-constraint和display-name。下面各小节对它们进行介绍。
 1. web-resource-collection 此元素确定应该保护的资源,所有security-constraint元素都必须包含至少一个web-        resource-collection项.此元素由一个给出任意标识名称的web-resource-name元素、一个确定应该保护URL    的url-pattern元素、一个指出此保护所适用的HTTP命令(GET、POST等,缺省为所有方法)的http-method元素和一个提供资料的可选description元素组成。
    重要的是应该注意到,url-pattern仅适用于直接访问这些资源的客户机。特别是,它不适合于通过MVC体系结构利用RequestDispatcher来访问的页面,或者不适合于利用类似jsp:forward的手段来访问的页面。
 
 
2. auth-constraint元素却指出哪些用户应该具有受保护资源的访问权。此元素应该包含一个或多个标识具有访问权限的用户类别role-name元素,以及包含(可选)一个描述角色的description元素。

 

3. user-data-constraint 
这个可选的元素指出在访问相关资源时使用任何传输层保护。它必须包含一个transport-guarantee子元素(合法值为NONE、INTEGRAL或CONFIDENTIAL),并且可选地包含一个description元素。transport-guarantee为NONE值将对所用的通讯协议不加限制。INTEGRAL值表示数据必须以一种防止截取它的人阅读它的方式传送。虽然原理上(并且在未来的HTTP版本中),在INTEGRAL和CONFIDENTIAL之间可能会有差别,但在当前实践中,他们都只是简单地要求用SSL。
 

=========================================================

 

四种认证类型:

BASIC:HTTP规范,Base64
<web-app>
    ......
    <login-config>
        <auth-method>BASIC</auth-method>
    </login-config>
    ......
</web-app>

DIGEST:HTTP规范,数据完整性强一些,但不是SSL
<web-app>
    ......
    <login-config>
        <auth-method>DIGEST</auth-method>
    </login-config>
    ......
</web-app>

CLIENT-CERT:J2EE规范,数据完整性很强,公共钥匙(PKC)
<web-app>
    ......
    <login-config>
        <auth-method>CLIENT-CERT</auth-method>
    </login-config>
    ......
</web-app>

FORM:J2EE规范,数据完整性非常弱,没有加密,允许有定制的登陆界面。
<web-app>
    ......
    <login-config>
        <auth-method>FORM</auth-method>
        <form-login-config>
            <form-login-page>/login.html</form-login-page>
            <form-error-page>/error.jsp</form-error-page>
        </form-login-config>
    </login-config>
    ......
</web-app>

 

这里的 FORM 方式需要说明的是 登录页面的固定的元素:login.html

 

<form name="loginform" method="post" action="j_security_check">

<INPUT name="j_username" type="text">

<INPUT name="j_password" TYPE="password">

<input type="submit" value="登 录" >

</form>

 

form 的action 必须是j_security_check, method="post", 用户名 name="j_username" , 密码name="j_password"  这些都是固定的元素

web.xml 中的安全性配置

标签:

原文地址:http://www.cnblogs.com/fireyu/p/5038463.html
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!