java - 具有 2 个用户角色的 tomcat 上的 j_security_check

Question

我构建了一个小型 Java Web 应用程序，我需要 2 个用户角色。第一个是我需要查看/编辑/更新搜索表单后返回的数据库数据的“管理员”，第二个是“用户”，他只能查看返回的结果。为了更清楚，我有一个 login.jsp 页面，成功登录后我被重定向到 search.jsp 并且在搜索之后，如果登录的用户是管理员，则可以查看，编辑或删除结果，否则如果登录user是用户，结果只能查看。我必须使用 j_sequrity_check 和 tomcat 来实现它。我的 tomcat-users.xml 文件:

 <tomcat-users>
  <role rolename="admin"/>
  <role rolename="user"/>

  <user username="admin" password="admin" roles="admin"/>
  <user username="user" password="user" roles="user"/>

</tomcat-users>

我的简单login.jsp

<!DOCTYPE html>
<html>
    <head>
        <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
        <title>JSP Page</title>
    </head>
    <body>
        <form action="j_security_check" method="POST">
           Username:<input type="text" name="j_username"><br>
           Password:<input type="password" name="j_password">
           <input type="submit" value="Login">
        </form>
    </body>
</html>

而且我找不到如何设置 web.xml 以便在登录后，我被重定向到管理员和用户的 search.jsp，但在搜索后有一个页面 adminresults.jsp对于管理员和用户不同的 userresults.jsp。

<?xml version="1.0" encoding="UTF-8"?>
<web-app id="tomcat-demo" version="2.4"
    xmlns="http://java.sun.com/xml/ns/j2ee"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">
    <servlet>
        <servlet-name>TestServlet</servlet-name>
        <servlet-class>test.TestServlet</servlet-class>
    </servlet>
    <servlet-mapping>
        <servlet-name>TestServlet</servlet-name>
        <url-pattern>/test</url-pattern>
    </servlet-mapping>

    <security-constraint>
        <web-resource-collection>
            <web-resource-name>java app login</web-resource-name>
            <url-pattern>/*</url-pattern>
            <http-method>GET</http-method>
            <http-method>POST</http-method>
        </web-resource-collection>

        <auth-constraint>
            <role-name>admin</role-name>
            <role-name>user</role-name>
        </auth-constraint>

        <user-data-constraint>
            <!-- transport-guarantee can be CONFIDENTIAL, INTEGRAL, or NONE -->
            <transport-guarantee>CONFIDENTIAL</transport-guarantee>
        </user-data-constraint>
    </security-constraint>

    <login-config>
        <auth-method>FORM</auth-method>
        <form-login-config>
            <form-login-page>/search.html</form-login-page>
            <form-error-page>/login-failed.html</form-error-page>
        </form-login-config>
    </login-config>
</web-app>

提前感谢您的宝贵时间。

Answer 1

您不能在 web.xml 中执行此操作。您必须自己在过滤器或 servlet 中编写逻辑。

使用请求对象检查用户是否具有特定角色:

public void doGet(HttpServletRequest request, HttpServletResponse response) 
    throws IOException, ServletException{


    if (request.isUserInRole("admin")) {
        response.sendRedirect("adminresult.html");
    } else if (request.isUserInRole("user")){
        response.sendRedirect("userresult.html");
    }
}