当访问服务器中受保护的资源时,容器管理的验证方法可以控制确认用户身份的方式。Tomcat支持四种容器管理的安全防护,它们是:
1、BASIC(基本验证):通过HTTP验证,需要提供base64编码文本的用户口令
2、DIGEST(摘要验证):通过HTTP验证,需要提供摘要编码字符串的用户口令
3、FORM(表单验证):在网页的表单上要求提供密码
4、CLIENT-CERT(客户端证书验证):以客户端证书来确认用户的身份
基本验证
当web.xml文件中的auth-method元素设置为BASIC时,表明应用使用的是基本验证,每次浏览器请求受保护的Web应用资源时,Tomcat都会使用HTTP基本验证向浏览器索取用户名和密码(以页面弹窗的方式)。使用这种验证方法,所有的密码都会以base64编码的文本在网络上传输。
先看下项目结构(我用Maven管理的依赖):
其中,protect/protect.jsp是被保护的,需要授权访问。
说明:本文提到的tomcat-users.xml,server.xml等文件,如果是在Eclipse中启动tomcat,则这些文件在Eclipse中的Servers工程下对应的tomcat下,如图:
而本文提到的web.xml是指项目自己的web.xml,而非Servers项目下Tomcat中的web.xml。
web.xml<security-constraint>
<web-resource-collection> <http-method>GET</http-method> <web-resource-name>tomcat protect page</web-resource-name> <!-- /protect目录下的所有资源是受保护的 --> <url-pattern>/protect/*</url-pattern> </web-resource-collection> <auth-constraint> <!-- 这里的member要与tomcat-user.xml中配置的role一致 --> <role-name>member</role-name> </auth-constraint></security-constraint><login-config> <!-- 验证方式,可选的值为: "BASIC", "DIGEST", "FORM", "CLIENT-CERT" --> <auth-method>BASIC</auth-method> <!-- 使用的Realm名字,注意这里不能有空格 --> <realm-name>MyConstraints</realm-name></login-config> tomcat-user.xml(注意如果是在Eclipse中启动tomcat,这个tomcat-user.xml在Eclipse中的Servers工程下)<role rolename="member"/>
<!-- member角色下有一个叫alvis的用户,密码为pwd --><user username="alvis" password="pwd" roles="member"/>重启tomcat后,访问protect目录下的资源,情况是这样的:
输入账户alvis,密码pwd后,访问成功(当然,非protect目录下的资源是可以直接访问的):
摘要验证
当web.xml文件中的auth-method元素设置为DIGEST时,表明应用使用的是摘要验证。还是上面的例子,看配置:
web.xml和基本验证一样,只是auth-method修改为DIGEST,此处不赘述。
新闻热点
疑难解答
