我即将从大学毕业,有一个需要在学校实现的网络应用程序,一切都很完美,需要在 11 月之前准备好,但我在处理安全方面遇到了真正的麻烦。应用程序必须能够让不同的用户具有一个或多个不同的角色(用户 1:角色:学生;用户 2:管理员;用户 3:教授、老板)。
当用户登录时,应该根据其具有的角色将其重定向到不同的 View ,然后如果他尝试访问其角色不允许的资源,则应该显示错误页面。
这是我迄今为止尝试过的:
方法一:
身份验证方法:在 web.xml 中指定为
<login-config>
<auth-method>FORM</auth-method>
<form-login-config>
<form-login-page>/login.jsp</form-login-page>
</form-login-config>
</login-config>
然后在自定义 jsp 上使用名称 j_username 和 j_password 以及 j_security_check。
授权方式:通过 DataSourceRealm 使用容器安全(Tomcat) ,这允许我们连接到数据库并从需要在 server.xml 中映射的 2 个表中获取用户和与其关联的角色:
<Resource auth="Container" driverClassName="com.microsoft.sqlserver.jdbc.SQLServerDriver" maxActive="100" maxIdle="30" maxWait="1000" name="jdbc/sstt" password="pass" type="javax.sql.DataSource" url="jdbc:sqlserver://localhost;databaseName=BDTT" username="sa"/>
web.xml:
<security-constraint>
<web-resource-collection>
<web-resource-name>Students Only</web-resource-name>
<url-pattern>/student/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>student</role-name>
</auth-constraint>
</security-constraint>
// Same mapping for professor, admin, and boss (/professor/* maps to professor role)
结果:每当我尝试访问受限区域时,例如/members/(在安全约束内的 web.xml 中配置),它都会完美地工作,因此实现了授权目标.
问题: 当我提交登录表单时,它会触发 j_security_check,因此我无法触发可以帮助我根据用户角色进行重定向的 Struts2 Action,这是主要问题。一切都很完美,但我找不到使用容器安全登录后重定向的方法。
方法2:
身份验证方法:LoginAction 类,用于查询数据库并检查密码是否正确。它还检查用户角色,在这里我们应该能够返回一个像“admin”或“student”这样的字符串并重定向到适当的index.jsp资源,但是只有当用户被允许有只有一个角色,但可以有多个角色,那么应该如何根据总用户角色构建 View ?我们会返回什么字符串?
授权方法:我编写了一个自定义拦截器,它从 session 中检索用户对象(仅当用户身份验证成功时,此用户对象才应位于 session 中),然后在此处执行授权逻辑。
问题: 无法找到一种方法来根据多个角色构建 View ,而拦截器的问题是它只保护我的操作,因此授权目标达到了,但仅限于操作,这意味着我可以编写/students/和 URL将更改为/students/index.jsp,甚至无需尝试授权。
其他计划
我在想也许我可以使用过滤器来实现授权(这样我就可以保护动态和静态资源),但我不知道这是否是一个好的做法,因为我们已经配置了 Struts2 过滤器映射到/*
我也在寻找可以使用JAAS或Spring Security,但我不知道我是否可以实现这一点,基于角色进行身份验证、重定向并授权。我不想花更多的时间来发现我不能做我需要的事情,而且我只有很短的时间来完成这件事。
其他问题
将jsp放在WEB-INF下真的是一个好的做法吗?如果是这样,我应该将 struts.xml 中对 jsp 的所有访问重写为 WEB-INF/jsp/students/index.jsp 吗? ( 例如 )。或者我应该坚持 web.xml 中定义的安全约束以避免直接访问/jsp/* url 模式?
预先非常感谢您的所有时间和帮助。
最佳答案
针对方法一的问题:可以编写Struts2拦截器来实现你想要的。
有关 Spring Security 示例,请参阅我对此问题的回答 https://stackoverflow.com/questions/12615354/how-to-implement-role-based-login/12629731#12629731
是的,将 jsp 放在 WEB-INF 文件夹下是一个很好的做法。请参阅Why put JSP in WEB-INF?
关于security - Struts2授权,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12552383/