`
252401762
  • 浏览: 39638 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

web.xml 中的安全性配置

    博客分类:
  • jsp
阅读更多

web.xml 中的代码

<security-constraint>
  <display-name>
  baseporject</display-name>
  <web-resource-collection>
   <web-resource-name>baseproject</web-resource-name>
   <url-pattern>*.jsp</url-pattern>
   <url-pattern>*.do</url-pattern>
   <http-method>GET</http-method>
   <http-method>PUT</http-method>
   <http-method>HEAD</http-method>
   <http-method>TRACE</http-method>
   <http-method>POST</http-method>
   <http-method>DELETE</http-method>
   <http-method>OPTIONS</http-method>
  </web-resource-collection>
  <auth-constraint>
   <description>
   baseproject</description>
   <role-name>All Role</role-name>
  </auth-constraint>
  <user-data-constraint>
   <transport-guarantee>NONE</transport-guarantee>
  </user-data-constraint>
 </security-constraint>
 <login-config>
<!--四种验证方式,附在最后有说明-->
  <auth-method>FORM</auth-method>
  <form-login-config>
   <form-login-page>/login.html</form-login-page>
   <form-error-page>/error.html</form-error-page>
  </form-login-config>
 </login-config>
 <security-role>
  <role-name>All Role</role-name>
 </security-role>

 这里的security-constriaint元素的用途是用来指示服务器使用何种验证方法了.此元素在web.xml中应该出现在login-config的紧前面。它包含是个可能的子元素,分别是:web-resource-collection、auth-constraint、user-data-constraint和display-name。下面各小节对它们进行介绍。
 1. web-resource-collection 此元素确定应该保护的资源,所有security-constraint元素都必须包含至少一个web-        resource-collection项.此元素由一个给出任意标识名称的web-resource-name元素、一个确定应该保护URL    的url-pattern元素、一个指出此保护所适用的HTTP命令(GET、POST等,缺省为所有方法)的http-method元素和一个提供资料的可选description元素组成。
    重要的是应该注意到,url-pattern仅适用于直接访问这些资源的客户机。特别是,它不适合于通过MVC体系结构利用RequestDispatcher来访问的页面,或者不适合于利用类似jsp:forward的手段来访问的页面。
 
 
2. auth-constraint元素却指出哪些用户应该具有受保护资源的访问权。此元素应该包含一个或多个标识具有访问权限的用户类别role-name元素,以及包含(可选)一个描述角色的description元素。

 

3. user-data-constraint
这个可选的元素指出在访问相关资源时使用任何传输层保护。它必须包含一个transport-guarantee子元素(合法值为NONE、INTEGRAL或CONFIDENTIAL),并且可选地包含一个description元素。transport-guarantee为NONE值将对所用的通讯协议不加限制。INTEGRAL值表示数据必须以一种防止截取它的人阅读它的方式传送。虽然原理上(并且在未来的HTTP版本中),在INTEGRAL和CONFIDENTIAL之间可能会有差别,但在当前实践中,他们都只是简单地要求用SSL。
 

=========================================================

 

四种认证类型:

BASIC:HTTP规范,Base64
<web-app>
    ......
    <login-config>
        <auth-method>BASIC</auth-method>
    </login-config>
    ......
</web-app>

DIGEST:HTTP规范,数据完整性强一些,但不是SSL
<web-app>
    ......
    <login-config>
        <auth-method>DIGEST</auth-method>
    </login-config>
    ......
</web-app>

CLIENT-CERT:J2EE规范,数据完整性很强,公共钥匙(PKC)
<web-app>
    ......
    <login-config>
        <auth-method>CLIENT-CERT</auth-method>
    </login-config>
    ......
</web-app>

FORM:J2EE规范,数据完整性非常弱,没有加密,允许有定制的登陆界面。
<web-app>
    ......
    <login-config>
        <auth-method>FORM</auth-method>
        <form-login-config>
            <form-login-page>/login.html</form-login-page>
            <form-error-page>/error.jsp</form-error-page>
        </form-login-config>
    </login-config>
    ......
</web-app>

 

这里的 FORM 方式需要说明的是 登录页面的固定的元素:login.html

 

<form name="loginform" method="post" action="j_security_check">

<INPUT name="j_username" type="text">

<INPUT name="j_password" TYPE="password">

<input type="submit" value="登 录" >

</form>

 

form 的action 必须是j_security_check, method="post", 用户名 name="j_username" , 密码name="j_password"  这些都是固定的元素

 

 

分享到:
评论
1 楼 zxjlwt 2015-09-02  
学习了。

http://surenpi.com

相关推荐

    DWR.xml配置文件说明书(含源码)

    &lt;creator id="new" class="uk.ltd.getahead.dwr.create.NewCreator"/&gt;DWR已经将这配置到了内置的dwr.xml文件中,并不需要进行额外的配置. Creator通过调用类的默认的构造方法创建实例.应用new creator有以下几个优点:...

    JBoss7-配置-管理员手册

    4.4.2. 管理接口的安全性 59 4.4.2.1. 初始化设置 60 4.4.2.2. 快速配置 61 4.4.2.3. 详细配置 63 4.4.2.3.1. 管理接口 63 4.4.2.3.2. 安全域 64 4.4.2.3.3. Outbound connections(外部连接) 68 4.4.2.4. 问题 68 ...

    Tomcat的配置详解中文版

    Tomcat的配置 增加一个虚拟目录 配置JSP及Servlet 配置服务器的端口 web.xml文件的设置 web.xml文件中安全性的设置 tomcat-users.xml 设置 配置日志

    Sybase ASE 15.7 开发文档:Web 服务用户指南

    用户定义的 Web 服务的安全性 .......... 47 用户定义的 Web 服务的审计 .......... 48 ASE Web 服务日志记录 .......... 49 ASE Web 服务日志文件 .......... 49 转滚日志文件 .......... 50 使用 Sybase Central ....

    JavaEE 6 Servlet 3.0 中的新特性

    • 模块化web.xml • 动态配置 • 异步Servlet • Servlet 3.0 — 易于开发 – 主要关注点 • 增强了API 以便使用SE 5 中新的语言特性 – 例如:批注、泛型(Generics) – 在上次JavaEE 5 中漏掉的Servlet • 部署...

    4、Spring Security 安全权限管理手册

    配置Web.xml,应用安全过滤器 配置Spring,验证与授权部分 在web页面中获取用户身份 在web页面中应用安全标签库 实现方法级安全 6、配置web.xml 7、Spring配置文件中设置命名空间 8、通过数据库验证用户身份 9、完善...

    Java Web应用程序的安全模型

     程序性安全模型是指可以在部署的时候由部署者为WEB资源配置安全限制。如:将用户放入组中(后面称之为角色role),为特定资源配置身份验证。Web应用程序的部署描述符文件(web.xml文件)就是定义这些操作的位置。...

    TomcatWeb服务器安全配置基线.doc

    概述 目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的Tomcat WEB服务器应当遵循的安全性设置标准,本文档旨在指导系统管理人员进行Tomcat WEB服务器的安全配置。 适用范围 本配置标准的使用者...

    Java™ Servlet 规范.

    1.6 与 Java Servlet 规范 2.5 版本间的兼容性 ..............................................................................................14 1.6.1 监听器(Listener)顺序 .................................

    JBoss7配置指南及管理员手册

    4.4.2. 管理接口的安全性 59 4.4.2.1. 初始化设置 60 4.4.2.2. 快速配置 61 4.4.2.3. 详细配置 63 4.4.2.3.1. 管理接口 63 4.4.2.3.2. 安全域 64 4.4.2.3.3. Outbound connections(外部连接) 68 4.4.2.4. 问题 68 ...

    Maven权威指南 很精典的学习教程,比ANT更好用

    本例中所用的技术 7.2. simple-parent项目 7.3. simple-model模块 7.4. simple-weather模块 7.5. simple-persist模块 7.6. simple-webapp模块 7.7. 运行这个Web应用 7.8. simple-command模块 7.9. 运行这...

    springboot参考指南

    类型安全的配置属性 i. 23.7.1. 第三方配置 ii. 23.7.2. 松散的绑定(Relaxed binding) iii. 23.7.3. @ConfigurationProperties校验 iii. 24. Profiles i. 24.1. 添加激活的配置(profiles) ii. 24.2.以编程方式...

    Servlet3.1规范(最终版) PDF

    14 与 Java Servlet 规范 2.5 版本间的兼容性 .............................................................................................. 14 1.6.1 监听器(Listener)顺序 .................................

    [完整][中文][WEB安全测试].(美)霍普.扫描版.pdf

    本书中的秘诀演示了开发和测试人员在进行单元测试、回归测试或探索性测试的同时,如何去检查最常见的Web安全问题。与即兴的安全评估不同的是,这些秘诀是可重复的、简洁的、系统的——可以完美地集成到你的常规测试...

    C#XML入门经典 C#编程人员必备的XML技能.part2

    在.NET中使用XML &lt;br&gt;3.1 XML如何适合.NET 3.1.1 XML 3.1.2 文档对象模型(DOM) 3.1.3 命名空间 3.1.4 DTD和XML Schema 3.1.5 XPath 3.1.6 XSLT 3.2 .NET Framework使用XML 3.2.1 配置...

    CXF 2.4 WebService 发布和调用的身份验证和获取示例代码

    2. 调用安全性: 使用简单的USERNAME_TOKEN 3. 服务程序中取得调用者身份 ------------------------- 接口 ------------------------- intf.TrialService ------------------------- 服务端 ----------------------...

    Web应用安全:IIS解析漏洞.pptx

    IIS是一种Web(网页)服务组件,其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器,分别用于网页浏览、文件传输、新闻服务和邮件发送等方面,它使得在网络(包括互联网和局域网)上发布信息成了一件很容易的事...

    Maximo - LDAP 配置

    Maximo - LDAP 配置 目录 预备知识 –LDAP协议 –目录服务器 –目录结构 –验证vs授权 –验证过程 –用户定义 –Cron任务 WAS配置 –开启应用程序安全性 ...–Web.xml –打包部署 –Cron任务 –测试 故障修复

Global site tag (gtag.js) - Google Analytics