auth-constrain和security-role之间的区别是什么?

时间:2015-04-10 14:31:54

标签: java security-constraint

之间的区别是什么:

<auth-constraint><role-name>tomcat</role-name></auth-constraint>

<security-role><role-name>tomcat</role-name></security-role>

在安全约束声明中?

例如,如果我在下面定义BASIC身份验证,我应该使用哪个?

<login-config><auth-method>BASIC</auth-method></login-config>

1 个答案:

答案 0 :(得分:1)

根本区别在于通过身份验证方法解决的身份验证机制 - 身份验证是应用程序确认的手段&#34;你真的是你说的那个人吗?&# 34; - 身份验证机制可以有多种类型,但有一些由标准servlet容器支持开箱即用 - 您指出的是BASIC - 这是提示浏览器提示用于登录的对话框 - 这理想情况下不应该在prod场景中使用,因为它将您的凭证以纯文本形式传输到服务器,也不能在我知道的任何浏览器中自定义。通常在prod方案中,FORM与在服务器或其他基础架构层设置SSL一起使用。当使用servlet Web容器认证的开箱即用功能时,FORM是高度可定制的并且最受欢迎。

角色名称是一种抽象,最终将由应用程序代码用于执行授权。 &#34;好的,所以你就是你说的那个人,但你是否可以访问这个页面,按钮或网络应用程序?&#34; - 应用程序如何在内部处理此问题不是问题,但此处涉及Declarative (Annotation based) Servlet APIsServer specific mappings。以下是一种以编程方式执行此操作的方法 - How to get user roles in a JSP / Servlet