具有2个用户角色的tomcat上的j_security_check

时间:2015-03-18 11:49:06

标签: java tomcat j-security-check

我构建了一个小型的Java Web应用程序,我需要2个用户角色。第一个是" admin"我需要查看/编辑/更新搜索表单后返回的数据库数据,第二个是" user",他们只能查看返回的结果。 为了更清楚,我有一个login.jsp页面,在成功登录后,我被重定向到search.jsp,在搜索之后,如果登录的用户是admin,则可以查看,编辑或删除结果,否则如果记录用户是用户,只能查看结果。我必须使用j_sequrity_check和tomcat来实现它。 我的tomcat-users.xml文件: 

 <tomcat-users>
  <role rolename="admin"/>
  <role rolename="user"/>

  <user username="admin" password="admin" roles="admin"/>
  <user username="user" password="user" roles="user"/>

</tomcat-users>

我的简单login.jsp 

<!DOCTYPE html>
<html>
    <head>
        <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
        <title>JSP Page</title>
    </head>
    <body>
        <form action="j_security_check" method="POST">
           Username:<input type="text" name="j_username"><br>
           Password:<input type="password" name="j_password">
           <input type="submit" value="Login">
        </form>
    </body>
</html>

我无法找到如何设置 web.xml ,因此在登录后,我被重定向到search.jsp用于管理员和用户,但在搜索后有一个页面adminresults.jsp对于管理员和用户的不同userresults.jsp。

<?xml version="1.0" encoding="UTF-8"?>
<web-app id="tomcat-demo" version="2.4"
    xmlns="http://java.sun.com/xml/ns/j2ee"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">
    <servlet>
        <servlet-name>TestServlet</servlet-name>
        <servlet-class>test.TestServlet</servlet-class>
    </servlet>
    <servlet-mapping>
        <servlet-name>TestServlet</servlet-name>
        <url-pattern>/test</url-pattern>
    </servlet-mapping>

    <security-constraint>
        <web-resource-collection>
            <web-resource-name>java app login</web-resource-name>
            <url-pattern>/*</url-pattern>
            <http-method>GET</http-method>
            <http-method>POST</http-method>
        </web-resource-collection>

        <auth-constraint>
            <role-name>admin</role-name>
            <role-name>user</role-name>
        </auth-constraint>

        <user-data-constraint>
            <!-- transport-guarantee can be CONFIDENTIAL, INTEGRAL, or NONE -->
            <transport-guarantee>CONFIDENTIAL</transport-guarantee>
        </user-data-constraint>
    </security-constraint>

    <login-config>
        <auth-method>FORM</auth-method>
        <form-login-config>
            <form-login-page>/search.html</form-login-page>
            <form-error-page>/login-failed.html</form-error-page>
        </form-login-config>
    </login-config>
</web-app>

提前感谢您的时间。

1 个答案:

答案 0 :(得分:0)

您无法在web.xml中执行此操作。您必须自己在过滤器或servlet中编写逻辑。

使用请求对象检查用户是否具有特定角色:

public void doGet(HttpServletRequest request, HttpServletResponse response) 
    throws IOException, ServletException{


    if (request.isUserInRole("admin")) {
        response.sendRedirect("adminresult.html");
    } else if (request.isUserInRole("user")){
        response.sendRedirect("userresult.html");
    }
}
相关问题
最新问题