JSP安全

JavaServer页面和servlet提供给Web开发人员几个机制,以确保应用程序。资源是通过确定它们在应用程序部署描述符和分配角色给他们声明的保护。

认证的几个层次可用,使用证书,从基本的使用认证标识和密码,复杂的认证。

基于角色的身份验证:

在Servlet规范的认证机制使用一种称为基于角色的安全技术。这个想法是,而不是在用户级别限制的资源,您创建角色和角色限制的资源。

可以在文件tomcat-users.xml中,位于关在机密Tomcat的主目录定义不同的角色。本文件的一个例子如下所示:

<?xml version='1.0' encoding='utf-8'?><tomcat-users><role rolename="tomcat"/><role rolename="role1"/><role rolename="manager"/><role rolename="admin"/><user username="tomcat" password="tomcat" roles="tomcat"/><user username="role1" password="tomcat" roles="role1"/><user username="both" password="tomcat" roles="tomcat,role1"/><user username="admin" password="secret" roles="admin,manager"/></tomcat-users>

文件定义的用户名,密码和角色之间的简单映射。请注意,给定的用户可以具有多个角色,例如,name="both"是在“Tomcat的”角色和“role1”的作用。

一旦你识别和定义不同的角色,基于角色的安全限制可以通过使用在WEB-INF目录中可用的web.xml文件中的<security-constraint>元素被放置在不同的Web应用程序资源。

以下是在web.xml中的条目示例: