security - Struts2授权

标签 security tomcat struts2 spring-security roles

我即将从大学毕业,有一个需要在学校实现的网络应用程序,一切都很完美,需要在 11 月之前准备好,但我在处理安全方面遇到了真正的麻烦。应用程序必须能够让不同的用户具有一个或多个不同的角色(用户 1:角色:学生;用户 2:管理员;用户 3:教授、老板)。

当用户登录时,应该根据其具有的角色将其重定向到不同的 View ,然后如果他尝试访问其角色不允许的资源,则应该显示错误页面。

这是我迄今为止尝试过的:

方法一:

身份验证方法:在 web.xml 中指定为

<login-config>
   <auth-method>FORM</auth-method>
   <form-login-config>
      <form-login-page>/login.jsp</form-login-page>
   </form-login-config>
</login-config>

然后在自定义 jsp 上使用名称 j_username 和 j_password 以及 j_security_check。

授权方式:通过 DataSourceRealm 使用容器安全(Tomcat) ,这允许我们连接到数据库并从需要在 server.xml 中映射的 2 个表中获取用户和与其关联的角色:

<Resource auth="Container" driverClassName="com.microsoft.sqlserver.jdbc.SQLServerDriver" maxActive="100" maxIdle="30" maxWait="1000" name="jdbc/sstt" password="pass" type="javax.sql.DataSource" url="jdbc:sqlserver://localhost;databaseName=BDTT" username="sa"/>

web.xml:

<security-constraint>

    <web-resource-collection>
        <web-resource-name>Students Only</web-resource-name>
        <url-pattern>/student/*</url-pattern>
    </web-resource-collection>

    <auth-constraint>
        <role-name>student</role-name>
    </auth-constraint>

</security-constraint>

// Same mapping for professor, admin, and boss (/professor/* maps to professor role)

结果:每当我尝试访问受限区域时,例如/members/(在安全约束内的 web.xml 中配置),它都会完美地工作,因此实现了授权目标.

问题: 当我提交登录表单时,它会触发 j_security_check,因此我无法触发可以帮助我根据用户角色进行重定向的 Struts2 Action,这是主要问题。一切都很完美,但我找不到使用容器安全登录后重定向的方法。

方法2:

身份验证方法:LoginAction 类,用于查询数据库并检查密码是否正确。它还检查用户角色,在这里我们应该能够返回一个像“admin”或“student”这样的字符串并重定向到适当的index.jsp资源,但是只有当用户被允许有只有一个角色,但可以有多个角色,那么应该如何根据总用户角色构建 View ?我们会返回什么字符串?

授权方法:我编写了一个自定义拦截器,它从 session 中检索用户对象(仅当用户身份验证成功时,此用户对象才应位于 session 中),然后在此处执行授权逻辑。

问题: 无法找到一种方法来根据多个角色构建 View ,而拦截器的问题是它只保护我的操作,因此授权目标达到了,但仅限于操作,这意味着我可以编写/students/和 URL将更改为/students/index.jsp,甚至无需尝试授权。

其他计划

我在想也许我可以使用过滤器来实现授权(这样我就可以保护动态和静态资源),但我不知道这是否是一个好的做法,因为我们已经配置了 Struts2 过滤器映射到/*

我也在寻找可以使用JAASSpring Security,但我不知道我是否可以实现这一点,基于角色进行身份验证、重定向并授权。我不想花更多的时间来发现我不能做我需要的事情,而且我只有很短的时间来完成这件事。

其他问题

将jsp放在WEB-INF下真的是一个好的做法吗?如果是这样,我应该将 struts.xml 中对 jsp 的所有访问重写为 WEB-INF/jsp/students/index.jsp 吗? ( 例如 )。或者我应该坚持 web.xml 中定义的安全约束以避免直接访问/jsp/* url 模式?

预先非常感谢您的所有时间和帮助。

最佳答案

针对方法一的问题:可以编写Struts2拦截器来实现你想要的。

有关 Spring Security 示例,请参阅我对此问题的回答 https://stackoverflow.com/questions/12615354/how-to-implement-role-based-login/12629731#12629731

是的,将 jsp 放在 WEB-INF 文件夹下是一个很好的做法。请参阅Why put JSP in WEB-INF?

关于security - Struts2授权,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12552383/

上一篇:java - 元素类型 "Host"必须由匹配的结束标记 "</Host>"终止

下一篇:Tomcat 应用程序在一段时间后没有响应

相关文章:

Spring 启动 : How to add another WAR files to the embedded tomcat?

javax.jms.JMSException : No ManagedConnections available within configured blocking timeout

java - struts2中如何做后台任务?

servlets - 过滤器在 Struts2 中用作 Controller

.NET 插件安全

mysql - 处理需要数据库 (MySQL) 密码的脚本的安全方法是什么?

.net - WCF 服务连接问题 - 也许安全?

javascript - xss - 绑定(bind)事件

apache - HTTP 状态 404 Tomcat Apache

java - 使用struts2迭代器在jsp中显示多个图像

©2024 IT工具网  联系我们