Web Security Leaning--Tomcat‘s security
目前正在学web开发,学到了Security这一章,写博客记一下心得。
今天学的是基于web容器的安全机制,
1、设置用户和角色,在Tomcat安装目录的/config/tomact-user.xml中:
<tomcat-user>
<role rolename="admin"></role>
<role rolename="Member" />
<role rolename="Guest" />
<user username="Annie" password="123" roles="Admin,Member,Guest" />
<user username="Diane" password="123" roles="Member,Guest" />
<user username="Ted" password="123" roles="Guest" />
</tomcat-user>
注,书上说这个一般是学习时用的,实际环境中不用这个。这个每次配置得重启tomcat以生效。
2、到DD,就是web.xml中配置哪些角色能使用哪些方式访问哪些资源。没配置的哪些资源,能被任何人访问。
<security-constraint>
<web-resource-collection>
<web-resource-name></web-resource-name>
<url-pattern>/beer/AddRecipe/*</url-pattern>
<http-method>post</http-method>
<http-method>get</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>Admin</role-name>
<role-name>Member</role-name>
</auth-constraint>
</security-constraint> 1 楼 ei0 2011-05-13 3、在dd中添加角色,这里的角色是第一步设置的
<security-role><role-name>Admin</role-name></security-role>
<security-role><role-name>Menber</role-name></security-role>
<security-role><role-name>Guest</role-name></security-role>