安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 技术关注 > 系统文档 > TOMCAT 中的访问控制策略

TOMCAT 中的访问控制策略

时间:2014-11-27来源:未知 作者:安云网点击:
TOMCAT 中的访问控制策略 TOMCAT的安全控制策略是根据Servlet 2.4规范来实现的。 1.在$CATALINA/conf/server.xml文件中配置: Realm className=org.apache.catalina.realm.UserDatabaseRealm debug=0 resourceName=UserDatabase/ 这里UserDatabase是一个jndi的名称,也需要在se

TOMCAT 中的访问控制策略

TOMCAT的安全控制策略是根据Servlet 2.4规范来实现的。

//安云网,anyun.org

1.在$CATALINA/conf/server.xml文件中配置:

//内容来自安云网

<Realm className="org.apache.catalina.realm.UserDatabaseRealm"  debug="0" resourceName="UserDatabase"/> //copyright AnYun.ORG

这里UserDatabase是一个jndi的名称,也需要在server.xml中配置,对应于$CATALINA/conf/tomcat-users.xml文件 //本文来自安云网

2.tomcat-users.xml文件里面定义了用户和角色 //内容来自安云网

<?xml version='1.0' encoding='utf-8'?>
<tomcat-users>
  <role rolename="tomcat"/>
  <role rolename="role1"/>
  <role rolename="manager"/>
  <role rolename="admin"/>
  <user username="tomcat" password="tomcat" roles="tomcat"/>
  <user username="both" password="tomcat" roles="tomcat,role1"/>
  <user username="manager" password="tomcat" roles="manager"/>
  <user username="admin" password="tomcat" roles="admin"/>
</tomcat-users>

//本文来自安云网

3.在相应的应用的web.xml文件中加入<security-constraint><login-config> <security-role>标签,如下所示:
  <!-- Security is active on entire directory -->
  <security-constraint>
    <display-name>Tomcat Server Configuration Security Constraint</display-name>
    <web-resource-collection>
      <web-resource-name>Protected Area</web-resource-name>
      <!-- Define the context-relative URL(s) to be protected -->
      <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
      <!-- Anyone with one of the listed roles may access this area -->
      <role-name>admin</role-name> //安云网,anyun.org
    </auth-constraint>
  </security-constraint>

//内容来自安云网

  <!-- Login configuration uses form-based authentication -->
  <login-config>
    <auth-method>FORM</auth-method>
    <realm-name>Tomcat Server Configuration Form-Based Authentication Area</realm-name>
    <form-login-config>
      <form-login-page>/login.jsp</form-login-page>
      <form-error-page>/error.jsp</form-error-page>
    </form-login-config>
  </login-config>
//ANYUN.ORG

  <!-- Security roles referenced by this web application -->
  <security-role>
    <description>
      The role that is required to log in to the Administration Application
    </description>
    <role-name>admin</role-name>
  </security-role>
//内容来自AnYun.ORG

4.在 <login-config>标签的<auth-method>FORM</auth-method>属性中,可以看到这里的authentication method 设置为FORM,这是一种基于表单的用户认证方式。基于form的用户认证需要在<form-login-page>/login.jsp</form-login-page>定义的登陆页面中提供一个包括用户名和密码的html表单,这个表单相对应于用户名和密码的元素必须是j_username和j_password,并且表单的ACTION必须为j_security_check。譬如: 
<form method="POST" action="j_security_chack"> 
<input type="text" name="j_username"> 
<input type="password" name="j_password"> 
</form> 

在验证通过之后,login页面会自动转向该应用的默认页面(index.html,index.jsp等等)。
//安云网咨询系统

除了FORM验证方式之外,还有BASIC和CLIENT-CERT这两种用户认证方式,前者是基本的用户认证方式,要求浏览器弹出一个对话框,录入用户名和密码。后者是使用客户数字证书来认证请求。

//安云网咨询系统

5.以上四步完成之后便可以通过在tomcat-users.xml文件中添加用户和角色来实现访问控制了。还是比较方面的。 //内容来自安云网


//内容来自AnYun.ORG

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容
  • The Debian Administrator’s Handbook,

    The Debian Administrator’s Handbook, 这本书是debian的两个开发者写出...

  • 微信4.0发布,加入朋友圈功能

    今天传说中的微信4.0版本终于发布并且推送了更新,一进入是新...

  • vijos中c的注意事项

    昨天没事发现了一个叫vijos的类似judgeonline的网站,也许是我火星...

  • falcon编译出错问题

    ...

  • 教你破解xp系统administrator权限

    作者:Awolf 首发:AwolfS Security Blog 一.事情起因 那天满头大汗的...

  • Linux环境下UglifyJS安装

    Linux环境下UglifyJS安装 1.1.   安装 Node.js [[email protected] src]# wget http...