Tomcat BASIC & FORM 安全校驗

1、web.xml

 

1) <security-constraint />

 

<security-constraint> <web-resource-collection> <web-resource-name>Test</web-resource-name> <url-pattern>/index.jsp</url-pattern>----受限資源 </web-resource-collection> <auth-constraint> <role-name>manager</role-name> -----可配置多個角色 </auth-constraint> </security-constraint>

 

2) <login-config />

 

  BASIC 方式

 

<login-config> <auth-method>BASIC</auth-method> </login-config>

 

   FORM 方式

 

<login-config> <auth-method>FORM</auth-method> <realm-name>Example Form-Based Authentication Area</realm-name> <form-login-config> <form-login-page>/login.jsp</form-login-page> <form-error-page>/error.jsp</form-error-page> </form-login-config> </login-config>

 

<role-name>manager </role-name>   ----------- 對應 tomcat-user.xml

 

tomcat-users.xml <?xml version='1.0' encoding='utf-8'?> <tomcat-users> <role rolename="manager"/> <user username="" password="" roles="manager"/> </tomcat-users>

 

 

2、login.jsp

 

     FORM方式要求 login.jsp中的form的action，以及其中的用戶名和密碼兩個參數的名稱，都應取固定的值。登錄的後臺處理程序爲j_security_check；用戶名和密碼的參數名稱分別爲：j_username和j_password。

 

<form method="POST" action='<%= response.encodeURL("j_security_check") %>'> <table border="0" cellspacing="5"> <tr> <th align="right">Username:</th> <td align="left"><input type="text" name="j_username"></td> </tr> <tr> <th align="right">Password:</th> <td align="left"><input type="password" name="j_password"></td> </tr> <tr> <td align="right"><input type="submit" value="Log In"></td> <td align="left"><input type="reset"></td> </tr> </table> </form>

 

3、error.jsp

 

    給出驗證失敗的提示信息。

 

4、測試

 

     jsp文件目錄：

 

         WebRoot

                ---index.jsp

                ---login.jsp

                ---error.jsp

 

     啓動服務，打開http://xxxx:port/xx/index.jsp

 

     BASIC 方式：

          彈出登錄窗口，輸入錯誤的name 或者 password，例子用戶名和密碼都是空。

 

     FORM 方式：

          表單驗證，如果驗證失敗，跳轉到錯誤處理頁面，給出提示信息。

 

 

   Note:

 

        如果是 weblogic服務器，web.xml 需要配置<security-role />，同時在 weblogic.xml 中增加<security-role-assignment />配置