當(dāng)訪問服務(wù)器中受保護(hù)的資源時(shí)，容器管理的驗(yàn)證方法可以控制確認(rèn)用戶身份的方式。Tomcat支持四種容器管理的安全防護(hù)，它們是：

1、BASIC(基本驗(yàn)證)：通過HTTP驗(yàn)證，需要提供base64編碼文本的用戶口令

2、DIGEST(摘要驗(yàn)證)：通過HTTP驗(yàn)證，需要提供摘要編碼字符串的用戶口令

3、FORM(表單驗(yàn)證)：在網(wǎng)頁的表單上要求提供密碼

4、CLIENT-CERT(客戶端證書驗(yàn)證)：以客戶端證書來確認(rèn)用戶的身份

基本驗(yàn)證

當(dāng)web.xml文件中的auth-method元素設(shè)置為BASIC時(shí)，表明應(yīng)用使用的是基本驗(yàn)證，每次瀏覽器請(qǐng)求受保護(hù)的Web應(yīng)用資源時(shí)，Tomcat都會(huì)使用HTTP基本驗(yàn)證向?yàn)g覽器索取用戶名和密碼（以頁面彈窗的方式）。使用這種驗(yàn)證方法，所有的密碼都會(huì)以base64編碼的文本在網(wǎng)絡(luò)上傳輸。

先看下項(xiàng)目結(jié)構(gòu)（我用Maven管理的依賴）：

其中，protect/protect.jsp是被保護(hù)的，需要授權(quán)訪問。

說明：本文提到的tomcat-users.xml，server.xml等文件，如果是在Eclipse中啟動(dòng)tomcat，則這些文件在Eclipse中的Servers工程下對(duì)應(yīng)的tomcat下，如圖：

而本文提到的web.xml是指項(xiàng)目自己的web.xml，而非Servers項(xiàng)目下Tomcat中的web.xml。
web.xml

<security-constraint>
 <web-resource-collection>
  <http-method>GET</http-method>
  <web-resource-name>tomcat protect page</web-resource-name>
  <!-- /protect目錄下的所有資源是受保護(hù)的 -->
  <url-pattern>/protect/*</url-pattern>
 </web-resource-collection>
 <auth-constraint>
  <!-- 這里的member要與tomcat-user.xml中配置的role一致 -->
  <role-name>member</role-name>
 </auth-constraint>
</security-constraint>
<login-config>
 <!-- 驗(yàn)證方式，可選的值為： "BASIC", "DIGEST", "FORM", "CLIENT-CERT" -->
 <auth-method>BASIC</auth-method>
 <!-- 使用的Realm名字，注意這里不能有空格 -->
 <realm-name>MyConstraints</realm-name>
</login-config>
 
tomcat-user.xml（注意如果是在Eclipse中啟動(dòng)tomcat，這個(gè)tomcat-user.xml在Eclipse中的Servers工程下）

<role rolename="member"/>
<!-- member角色下有一個(gè)叫alvis的用戶，密碼為pwd -->
<user username="alvis" password="pwd" roles="member"/>

重啟tomcat后，訪問protect目錄下的資源，情況是這樣的：

輸入賬戶alvis，密碼pwd后，訪問成功（當(dāng)然，非protect目錄下的資源是可以直接訪問的）：

摘要驗(yàn)證

當(dāng)web.xml文件中的auth-method元素設(shè)置為DIGEST時(shí)，表明應(yīng)用使用的是摘要驗(yàn)證。還是上面的例子，看配置：

web.xml和基本驗(yàn)證一樣，只是auth-method修改為DIGEST，此處不贅述。

server.xml中的UserDatabaseRealm（如果tomcat使用的是其他Realm，也一樣的）里增加digest屬性：

接下來，要生成tomcat可識(shí)別的MD5密碼。方式有兩種，正如官網(wǎng)描述：

Tomcat,容器管理,安全驗(yàn)證

方式一：用代碼來生成：

import org.apache.catalina.realm.RealmBase;
public class T {
 public static void main(String[] args) {
  //參數(shù)1：要加密的字符串；參數(shù)2：加密算法；參數(shù)3：字符串的編碼
  String base = RealmBase.Digest("alvis:MyConstraints:pwd", "MD5", null);
  System.out.println(base);
 }
}

由于RealmBase類在catalina.jar包中，如果項(xiàng)目中沒有這個(gè)類，可在項(xiàng)目上右鍵-->Java Build Path--> Libraries-->Add Library-->選擇Server Runtime-->選擇Apache Tomcat V8.0(其實(shí)7.0也行)，如圖：

方式二：用腳本來生成：

在tomcat/bin目錄下有個(gè)digest.sh(Linux系統(tǒng))或digest.bat(Windows系統(tǒng))腳本，運(yùn)行這個(gè)腳本，傳入摘要算法和參數(shù)即可，這里我在Windows系統(tǒng)上運(yùn)行，如圖：

這里的-a指定摘要算法為MD5，要特別注意這里的參數(shù)是：{用戶名}:{Realm名}:{密碼明文}。用戶名就是tomcat-users.xml中配置的<user>名字(這里為alvis)，Realm名是在web.xml中配置的<realm-name>(這里為MyConstraints)，密碼明文即該用戶用于登錄的密碼(我這里設(shè)為pwd)。

只有這樣的參數(shù)加密后的密碼，在tomcat-users.xml中配置才有效，否則是登錄不了的。由于我是參考《Tomcat權(quán)威指南(第二版)》的步驟做的，之前試了很久都不知道為什么登錄不了，結(jié)果在官網(wǎng)找到答案，是這么描述的：

 Tomcat,容器管理,安全驗(yàn)證

大意是說，如果使用DIGEST方式驗(yàn)證，用于生成摘要的明文必須被替換為這種格式。實(shí)踐出真知，所以還是不能完全看書啊，動(dòng)手實(shí)踐才是實(shí)在的。
然后就是在tomcat-users.xml中配置生成的密碼（通過下方的截圖，可以比較password跟上方digest.bat腳本生成的密碼是否一致）：

之后重啟tomcat，效果自然是跟使用基本驗(yàn)證的效果一樣了。

表單驗(yàn)證

當(dāng)web.xml文件中的auth-method元素設(shè)置為FORM時(shí)，表明應(yīng)用使用的是表單驗(yàn)證。當(dāng)用戶請(qǐng)求Web應(yīng)用程序受保護(hù)的資源時(shí)，表單驗(yàn)證會(huì)跳轉(zhuǎn)至配置的登錄頁面。當(dāng)?shù)卿浭r(shí)，還需要一個(gè)驗(yàn)證失敗的頁面，還是上面的例子，看配置：

web.xml

<security-constraint>
 <web-resource-collection>
  <http-method>GET</http-method>
  <web-resource-name>tomcat member part</web-resource-name>
  <url-pattern>/protect/*</url-pattern>
 </web-resource-collection>
 <auth-constraint>
  <role-name>member</role-name>
 </auth-constraint>
</security-constraint>
<login-config>
 <auth-method>FORM</auth-method>
 <realm-name>MyConstraints</realm-name>
 <form-login-config>
  <form-login-page>/form/login.html</form-login-page>
  <form-error-page>/form/error.html</form-error-page>
 </form-login-config>
</login-config>

這里的form/login.html是用于登錄的頁面，而form/error.html則是驗(yàn)證失敗后跳轉(zhuǎn)到的頁面（這兩個(gè)頁面在上方的工程結(jié)構(gòu)圖中已經(jīng)有了）。

login.html

<html>
 <body>
 <h2>Login Page.</h2>
 <form method="post" action="j_security_check" name="loginForm">
  <input type="text" name="j_username" /><br>
  <input type="password" name="j_password" /><br>
  <input type="submit" value="Login" />
 </form>
 </body>
</html>

注意：這里form的action="j_security_check"，賬號(hào)的name="j_username"和密碼的name="j_password"都是不可變的，否則配置的驗(yàn)證規(guī)則不起作用。

server.xml中，要去掉Realm中添加的“digest=MD5”這個(gè)屬性：

tomcat-users.xml中使用明文保存密碼：

效果（僅在訪問protect目錄下的資源時(shí)才出現(xiàn)Login Page）：

輸入錯(cuò)誤的賬號(hào)和密碼，跳轉(zhuǎn)至form/error.html頁面：

輸入正確的賬號(hào)和密碼，跳轉(zhuǎn)至受保護(hù)的頁面：

客戶端證書驗(yàn)證

待續(xù)
 
Demo下載：

鏈接: http://pan.baidu.com/s/1gfnqVdT 密碼: pubw

參考頁面：

https://tomcat.apache.org/tomcat-7.0-doc/realm-howto.html

最新評(píng)論