在tomcat中使用Realm

GDreams0 2011-05-01

1、配置JDBCRealm,

在tomcat的server.xml文件中,配置自己的JDBCRealm,tomcat提供了六种Realm实现,这里使用JDBCRealm演示。

<Realm  className="org.apache.catalina.realm.JDBCRealm"
             driverName="org.gjt.mm.mysql.Driver"
          connectionURL="jdbc:mysql://localhost/std"
         connectionName="root" connectionPassword="root"
              userTable="users" userNameCol="user_name" userCredCol="user_pass"
          userRoleTable="user_roles" roleNameCol="user_role" />

Realm标签可以放在Engine标签中,这是该Realm会被所有应用共享。放在Host中,会被该Host下的应用程序共享。放在Context中,则只有对应的应用程序能被访问。

引用

className:tomcat的JDBCRealm实现类,

driverName:JDBCDriver(JDBCDriverjar需要放在Tomcat'scommon/lib目录下)

connectionURL:数据库连接地址,表名为std

connectionName:数据库登录用户

connectionPassword:数据库登录密码

userTable:用户表的表名

userNameCol:用户表中用户列的列名

userCredCol:用户表中密码列的列名

userRoleTable:角色表的表名

roleNameCol:角色表中的角色列

对于上面配置的Realm,对应的数据库表如下:

CREATE TABLE `users` (
	`user_name` varchar(20) NOT NULL,
	`user_pass` varchar(20) DEFAULT NULL
	) ENGINE=InnoDB DEFAULT CHARSET=utf8;

	CREATE TABLE `user_roles` (
	`user_name` varchar(20) NOT NULL,
	`user_role` varchar(20) NOT NULL,
	PRIMARY KEY (`user_name`,`user_role`)
	) ENGINE=InnoDB DEFAULT CHARSET=utf8;

2、配置认证资源

配置角色,在web.xml中,使用security-role标签来定义角色,如下所示

<security-role>
		<role-name>ADMIN</role-name>
	</security-role>
	<security-role>
		<role-name>USER</role-name>
	</security-role>

配置资源约束,在web.xml中,使用security-constraint标签定义,如下所示,指定了对资源/admin/*的访问需要认证,只有角色是ADMIN的用户才能访问

<security-constraint>
		<web-resource-collection>
			<web-resource-name>adminDir</web-resource-name>
			<url-pattern>/admin/*</url-pattern>
			<http-method>GET</http-method>
			<http-method>POST</http-method>
		</web-resource-collection>
		<auth-constraint>
			<role-name>ADMIN</role-name>
		</auth-constraint>
	</security-constraint>

配置认证方式,在web.xml中使用login-config标签配置认证方式。如下所示,当访问需要认证的资源时,servlet会检查对应的请求是否需要认证,如果不需要,则允许访问,如果没有认证通过,则会转到/admin/login.jsp页面定义的认证入口,填写认证信息。

当认证失败时,会转到/admin/error.jsp页面中。

<login-config>
		<auth-method>FORM</auth-method>
		<form-login-config>
			<form-login-page>/admin/login.jsp</form-login-page>
			<form-error-page>/admin/error.jsp</form-error-page>
		</form-login-config>
	</login-config>

对于auth-method,可以指定认证的方式为,BASIC、DIGEST、CLIENT-CERT、FORM。其中FORM允许自定义登录界面,对于FORM自定义的登录表单,action、用户名、密码都要用统一的名字:

<form action="j_security_check" method="post">
		<table>
			<tr><td>user :</td><td><input name="j_username" type="text"></td></tr>
			<tr><td>pass :</td><td><input name="j_password" type="password"></td></tr>
			<tr><td><input type="submit"/></td></tr>
		</table>
	</form>

通过以上的配置,Request中也就保存了用户的认证信息了,在系统的其他地方,可以通过Request.isUserInRole方法,判断用户的角色。。。。

相关推荐

Mr丶Yang / 0评论 2016-11-04