- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
在我的 Java EE 应用程序中,我通过 JDBC 领域实现了身份验证/自动化(我第一次应用此解决方案)。
以下代码在成功登录时没有任何问题,问题是当我输入错误的凭据时:它无论如何都会登录,即使它捕获 ServletException (登录失败),这些代码行也永远不会被执行(尝试过 Debug模式):
request.setAttribute("msg", "Error in login");
nextPage = "/errorPage.jsp";
另一个奇怪的事情:无论我传递给什么
getServletContext().getRequestDispatcher(nextPage).forward(request, response);
作为 nextPage(我尝试静态放置“/errorPage.jsp”),它总是转发到index.jsp。
登录.jsp
@WebServlet("/Login")
public class Login extends HttpServlet {
private static final long serialVersionUID = 1L;
/**
* @see HttpServlet#HttpServlet()
*/
public Login() {
super();
// TODO Auto-generated constructor stub
}
/**
* @see HttpServlet#doGet(HttpServletRequest request, HttpServletResponse response)
*/
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
// TODO Auto-generated method stub
}
/**
* @see HttpServlet#doPost(HttpServletRequest request, HttpServletResponse response)
*/
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String username = request.getParameter("username").trim();
String password = request.getParameter("password").trim();
String nextPage = "/index.jsp";
try {
request.login(username, password);
}
catch (ServletException ex) {
request.setAttribute("msg", "Error in login");
nextPage = "/errorPage.jsp";
}
getServletContext().getRequestDispatcher(nextPage).forward(request, response);
}
}
登录.jsp
<%@ page language="java" contentType="text/html; charset=UTF-8"
pageEncoding="UTF-8"%>
<%
request.logout();
%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Welcome</title>
</head>
<body>
<h1>Hi! You need to login.</h1>
<form method="POST" action="/MyApp/Login">
Usuario: <input type="text" name="username" /> Password: <input
type="password" name="password" /> <input type="submit"
value="Send" />
</form>
</body>
</html>
web.xml
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
version="3.0">
<display-name>MyApp</display-name>
<welcome-file-list>
<welcome-file>login.jsp</welcome-file>
</welcome-file-list>
<login-config>
<auth-method>FORM</auth-method>
<realm-name>jdbcRealm</realm-name>
<form-login-config>
<form-login-page>/login.jsp</form-login-page>
<form-error-page>/errorPage.jsp</form-error-page>
</form-login-config>
</login-config>
<security-constraint>
<web-resource-collection>
<web-resource-name>Admin stuff</web-resource-name>
<url-pattern>/admin/*</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>admin</role-name>
</auth-constraint>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
<security-constraint>
<web-resource-collection>
<web-resource-name>User stuff</web-resource-name>
<url-pattern>/user/*</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>user</role-name>
</auth-constraint>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
<security-role>
<role-name>admin</role-name>
</security-role>
<security-role>
<role-name>user</role-name>
</security-role>
</web-app>
在此之前,我尝试了容器管理的安全性
解决方案(登录的表单操作调用 j_security_check 组件)。
登录工作正常(即使使用错误的凭据),但我遇到了另一个以前没有遇到过的严重问题:在一个用例中,用户可以看到项目正在处理,但它不应该能够看到其他用户的项目。我使用以下 servlet 实现了这一点,但问题是(与其他解决方案一样)它跳过了一些指令(例如,在数据库中查找用户的指令)并且出现异常,重定向到错误页。
public class ViewUserProjects extends HttpServlet {
private static final long serialVersionUID = 1L;
public ViewUserProjects() {
super();
// TODO Auto-generated constructor stub
}
protected void doGet(HttpServletRequest request,
HttpServletResponse response) throws ServletException, IOException {
DAO dao = (DAO) getServletContext().getAttribute("bd");
Principal p = request.getUserPrincipal();
String username = p.getName();
try {
User user = dao.getUserByName(name);
request.getSession().setAttribute("user", user);
ArrayList<Project> projects = new ArrayList<Project>();
tareas = ad.getUserProjects(Integer.parseInt(user.getId()));
request.setAttribute("projects", projects);
getServletContext().getRequestDispatcher(
"/user/viewProjects.jsp").forward(request,
response);
} catch (Exception ex) {
request.setAttribute("msg",
"Error");
getServletContext().getRequestDispatcher("/errorPage.jsp").forward(
request, response);
}
}
protected void doPost(HttpServletRequest request,
HttpServletResponse response) throws ServletException, IOException {
// TODO Auto-generated method stub
}
}
最佳答案
当使用JDBCRealm
时,使用 container-managed security
是更好的做法申请authentication/authorization
而不是从您的应用程序代码中处理这个问题(您正在做的事情)
所以我们允许服务器来处理这个问题,这意味着使用form-based authentication
(您正在使用的)按照Servlet Specification会是这样的:
首先是表格:
<form action="j_security_check" method="POST">
Username:<input type="text" name="j_username" placeholder="Username" />
Password:<input type="password" name="j_password" placeholder="Password" />
<input type="submit" value="Log In" />
</form>
然后在我们的Deployment Descriptor
中我们必须添加一些您似乎已经拥有的配置,但这是另一个示例:
注意我相信您错过了 * <error-page>
我们使用 403
的标记错误是 Forbidden resource
<security-constraint>
<display-name>securityConstraint1</display-name>
<web-resource-collection>
<web-resource-name>resources</web-resource-name>
<description />
<url-pattern>/protected/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>appUser</role-name>
<role-name>appAdmin</role-name>
</auth-constraint>
</security-constraint>
<security-constraint>
<display-name>securityConstraint2</display-name>
<web-resource-collection>
<web-resource-name>resources</web-resource-name>
<description />
<url-pattern>/protected/admni/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>appAdmin</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>FORM</auth-method>
<realm-name>appRealm</realm-name>
<form-login-config>
<form-login-page>/index.xhtml</form-login-page>
<form-error-page>/public/forbidden.xhtml</form-error-page>
</form-login-config>
</login-config>
<security-role>
<role-name>appUser</role-name>
</security-role>
<security-role>
<role-name>appAdmin</role-name>
</security-role>
<error-page>
<error-code>403</error-code>
<location>/public/forbidden.xhtml</location>
</error-page>
我们不能忘记Data Protection
(你已经有了):
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
所以现在我们需要定义ROLES
对于应用程序,这是在应用程序服务器中定义的映射组中完成的,因此首先。 您使用的是哪个应用服务器?
这是一个使用 GlassFish
的示例
我们需要添加 glassfish-web.xml
或sun-web.xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE sun-web-app PUBLIC "-//Sun Microsystems, Inc.//DTD GlassFish Application Server 3.0 Servlet 3.0//EN" "http://www.sun.com/software/appserver/dtds/sun-web-app_3_0-0.dtd">
<sun-web-app error-url="">
<security-role-mapping>
<role-name>appUser</role-name>
<group-name>1</group-name>
</security-role-mapping>
<security-role-mapping>
<role-name>appAdmin</role-name>
<group-name>2</group-name>
</security-role-mapping>
<class-loader delegate="true"/>
<jsp-config>
<property name="keepgenerated" value="true">
<description>Keep a copy of the generated servlet class' java code.</description>
</property>
</jsp-config>
</sun-web-app>
因此,角色被映射到 real repository
中存在的实际组名称。 。 (这是直接在您的应用服务器上创建的)。
为了使其正常工作,我们需要创建一个 TABLE
在我们的DB
为了定义用户组。
Realm
这里是在Server Admin Console
中创建的.
在 GlassFish 中转到:
配置>>服务器配置>>安全>>领域
这是领域配置的示例。
关于java - 使用 JDBC 领域进行身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34475277/
我正在使用SQL Server 2008 R2,并且想创建一个触发器。 对于每个添加(仅添加),将像这样更新一列: ABC-CurrentYear-AutoIncrementCode 例子: ABC-
是否可以在显示最终一致性的数据存储中创建/存储用户帐户? 似乎不可能在没有一堆架构复杂性的情况下管理帐户创建,以避免可能发生具有相同 UID(例如电子邮件地址)的两个帐户的情况? 最终一致性存储的用户
您好, 我有一个带有 Identity 的 .NetCore MVC APP并使用 this指导我能够创建自定义用户验证器。 public class UserDomainValidator : IU
这与以下问题相同:HiLo or identity? 我们以本站的数据库为例。 假设该站点具有以下表格: 帖子。 投票。 注释。 使用它的最佳策略是什么: 身份 - 这是更常见的。 或者 HiLo -
我想将 Blazor Server 与 ASP.NET Identity 一起使用。但我需要使用 PostgreSQL 作为用户/角色存储,因为它在 AWS 中。 它不使用 EF,这是我需要的。 我创
我正在开发一个 .NET 应用程序,它可以使用 Graph API 代表用户发送电子邮件。 提示用户对应用程序进行授权;然后使用获取的访问 token 来调用 Graph API。刷新 token 用
我使用 ASP.NET 身份和 ClaimsIdentity 来验证我的用户。当用户通过身份验证时,属性 User.Identity 包含一个 ClaimsIdentity 实例。 但是,在登录请求期
所以我在两台机器上都安装了 CYGWIN。 如果我这样做,它会起作用: ssh -i desktop_rsa root@remoteserver 这需要我输入密码 ssh root@remoteser
我尝试在 mac osx 上的终端中通过 telnet 连接到 TOR 并请求新身份,但它不起作用,我总是收到此错误消息: Trying 127.0.0.1... telnet: connect to
我正在开发一个 .NET 应用程序,它可以使用 Graph API 代表用户发送电子邮件。 提示用户对应用程序进行授权;然后使用获取的访问 token 来调用 Graph API。刷新 token 用
我正在开发一项服务,客户可以在其中注册他们的 webhook URL,我将发送有关已注册 URL 的更新。为了安全起见,我想让客户端(接收方)识别是我(服务器)向他们发送请求。 Facebook和 G
在 Haskell 中,有没有办法测试两个 IORef 是否相同?我正在寻找这样的东西: IORef a -> IORef a -> IO Bool 例如,如果您想可视化由 IORef 组成的图形,这
我是 .NET、MVC 和身份框架的新手。我注意到身份框架允许通过注释保护单个 Controller 操作。 [Authorize] public ActionResult Edit(int? Id)
我有一列具有身份的列,其计数为19546542,我想在删除所有数据后将其重置。我需要类似ms sql中的'dbcc checkident'这样的内容,但在Oracle中 最佳答案 在Oracle 12
这是我用来创建 session 以发送电子邮件的代码: props.put("mail.smtp.auth", "true"); props.put("mail.smtp.starttls.enabl
我想了解 [AllowAnonymous] 标签的工作原理。 我有以下方法 [HttpGet] public ActionResult Add() { return View(); } 当我没
在使用沙盒测试环境时,PayPal 身份 token 对某些人显示而不对其他人显示的原因是否有任何原因。 我在英国使用 API,终生无法生成或找到 token 。 我已经遵循协议(protocol)并
我对非常简单的事情有一些疑问:IDENTITY。我尝试在 phpMyAdmin 中创建表: CREATE TABLE IF NOT EXISTS typEventu ( typEventu
习语 #1 和 #5 是 FinnAPL Idiom Library两者具有相同的名称:“Progressive index of (without replacement)”: ((⍴X)⍴⍋⍋X⍳
当我第一次在 TFS 中设置时,我的公司拼错了我的用户名。此后他们将其更改为正确的拼写,但该更改显然未反射(reflect)在 TFS 中。当我尝试 checkin 更改时,出现此错误: 有没有一种方
我是一名优秀的程序员,十分优秀!