本文详细介绍了在Tomcat中如何实现基于表单的安全验证,包括概述、实现步骤和设计过程。通过配置Tomcat的XML文件、创建登录页面和错误处理页面,以及在web.xml中设置登录配置,实现用户认证和授权。当用户访问受保护的资源时,Tomcat会检查用户认证状态,若未认证则引导至登录页面,完成验证后允许访问。
1、概述
(1)基于表单的验证
基于From的安全认证可以通过TomcatServer对Form表单中所提供的数据进行验证,基于表单的验证使系统开发者可以自定义用户的登陆页面和报错页面。这种验证方法与基本HTTP的验证方法的唯一区别就在于它可以根据用户的要求制定登陆和出错页面。
通过拦截并检查用户的请求,检查用户是否在应用系统中已经创建好login session。如果没有,则将用户转向到认证服务的登录页面。但在Tomcat中的基于表单的验证凭证不被保护并以纯文本发送。
(2)在Tomcat 中的实现
在Tomcat中,用户、用户组和角色都是在XML配置文件(C:\jakarta-tomcat-5.0.19\conf\tomcat-users.xml)中指定的,我们只需要提供一个登陆页面,包含一个名为j_security_check的Form表单,一个名为j_username的TextBox和一个名为j_password的PasswordBox,然后在/WEB-INF/web.xml中配置即可使用Tomcat默认的JAAS身份验证。
使用JAAS验证的好处是,验证逻辑从页面中分离,对页面的限制访问是通过/WEB-INF/web.xml中的配置指定的,无需自定义过滤器。
(3)为了实现Web应用程序的安全,Tomcat Web容器执行下面的步骤:
l 在受保护的Web资源被访问时,判断用户是否被认证。
l 如果用户没有得到认证,则通过重定向到部署描述符中定义的注册页面,要求用户提供安全信任状。
l 根据为该容器配置的安全领域,确认用户的信任状有效。
l 判断得到认证的用户是否被授权访问部署描述符(web.xml)中定义的Web资源。
扫一扫
1357
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
