即使是正确的凭据,基本身份验证也不起作用

时间:2013-04-29 11:19:08

标签: tomcat7 web.xml jaas jdbcrealm

我正在尝试配置Tomcat 7 JDBC领域配置。 我完全遵循了这个教程: http://www.avajava.com/tutorials/lessons/how-do-i-use-a-jdbc-realm-with-tomcat-and-mysql.html

我获得了基本身份验证弹出窗口,但即使我输入了正确的凭据,用户也未经过身份验证。 我没有收到任何错误消息。

教程指定Tomcat 5.5,但我使用的是Tomcat 7。 我刚刚更改了connectionPaswordconnectionName以及动态网络项目的名称。

这是server.xml JDBC领域配置

    <Realm  className="org.apache.catalina.realm.JDBCRealm"
            driverName="com.mysql.jdbc.Driver"
            connectionURL="jdbc:mysql://localhost:3306/tomcat_realm"
            connectionName="root" 
            connectionPassword="root"
            userTable="tomcat_users" 
            userNameCol="user_name" 
            userCredCol="password"
            userRoleTable="tomcat_users_roles" 
            roleNameCol="role_name" />

以下是web.xml 

<servlet>
    <servlet-name>TestServlet</servlet-name>
    <servlet-class>test.TestServlet</servlet-class>
</servlet>
<servlet-mapping>
    <servlet-name>TestServlet</servlet-name>
    <url-pattern>/test</url-pattern>
</servlet-mapping>

<security-constraint>
    <web-resource-collection>
        <web-resource-name>Wildcard means whole app requires authentication</web-resource-name>
        <url-pattern>/*</url-pattern>
        <http-method>GET</http-method>
        <http-method>POST</http-method>
    </web-resource-collection>
    <auth-constraint>
        <role-name>dude</role-name>
    </auth-constraint>

    <user-data-constraint>
        <!-- transport-guarantee can be CONFIDENTIAL, INTEGRAL, or NONE -->
        <transport-guarantee>NONE</transport-guarantee>
    </user-data-constraint>
</security-constraint>

<login-config>
    <auth-method>BASIC</auth-method>
</login-config>

我只能看到,我收到有关安全的消息:

Security role name dude used in an <auth-constraint> without being defined in a <security-role>
你可以帮我解决这个问题吗?这个问题是否与Tomcat 7有关?

1 个答案:

答案 0 :(得分:6)

根据Java Servlet Spec,您需要将dude角色定义为安全角色。为此,请将<security-role>元素添加到web.xml,如下所示:

<servlet>
<!-- ... -->
<security-constraint>
    <web-resource-collection>
        <web-resource-name>Wildcard means whole app requires authentication</web-resource-name>
        <url-pattern>/*</url-pattern>
        <http-method>GET</http-method>
        <http-method>POST</http-method>
    </web-resource-collection>
    <auth-constraint>
        <role-name>dude</role-name>
    </auth-constraint>
<!-- ... -->
</security-constraint>

<login-config>
     <auth-method>BASIC</auth-method>
</login-config>

<security-role>
    <role-name>dude</role-name>
</security-role>

这将允许GET / POST个具有dude角色的用户请求。

我建议您不要包含<http-method>元素,因为它们无法正常工作。在GETPOST中包含此元素意味着安全约束仅适用于这两种方法;允许任何其他方法。这是Servlet Spec所说的内容:

  

子元素web-resource-collection标识应用了安全性约束的Web应用程序中那些资源的资源和HTTP方法的子集。

有关详细信息,请参阅this reference

相关问题
最新问题