Restringir el acceso de JSP / servlet sólo a usuarios específicos
https://stackoverflow.com/questions/3134228
-
01-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Estoy desarrollando una aplicación web. Me gustaría ser capaz de dejar que unos amigos lo ven, pero no otros que se tropiezan con la url. Iba a poner una página de destino y luego un cuadro de contraseña simple. Una vez introducida la contraseña correcta, que acababa de grabar en la sesión y exponer el sitio como de costumbre para el resto del tiempo que mantienen el navegador abierto.
¿Hay una manera estándar de hacer esto? Estaría añadir código extra para mi aplicación web para apoyar esto, no estoy seguro si hay un sistema incorporado en forma de hacerlo ya (estoy usando servlets Java).
Gracias
Solución
Se puede usar de autenticación gestionado utilizando los descriptores de despliegue . Esto requiere ningún código extra en su lado esperar de un simple formulario de login con un campo de entrada y la contraseña que se somete a la j_security_check URL. Aquí hay un ejemplo básico:
<form action="j_security_check" method="post">
<input type="text" name="j_username">
<input type="password" name="j_password">
<input type="submit">
</form>
Si se asume que usted tiene páginas privadas en un /private carpeta con el nombre y la página de inicio de sesión anterior se encuentra en /private/login.jsp, a continuación, añadir las siguientes entradas al web.xml de la aplicación de web:
<security-constraint>
<web-resource-collection>
<web-resource-name>Private</web-resource-name>
<url-pattern>/private/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>friends</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>FORM</auth-method>
<realm-name>Private</realm-name>
<form-login-config>
<form-login-page>/private/login.jsp</form-login-page>
<form-error-page>/private/error.jsp</form-error-page>
</form-login-config>
</login-config>
A continuación, en el servletcontainer las que se utilice debe configurar un llamado Reino para Private. Dado que no está claro lo que servletcontainer que está utilizando, esto es un documento dirigido Tomcat 8.0: Reino configuración HOW-TO . Puede configurarlo para verificar la combinación de nombre de usuario / contraseña con un archivo XML o una base de datos o incluso una ubicación personalizada.
Una alternativa completamente diferente es homegrow un mecanismo de inicio de sesión con ayuda de un Filter que comprueba la presencia del usuario conectado en el ámbito de sesión. Ver este y esta respuesta cómo lograr esto.
Otros consejos
Se debe considerar el uso de la autenticación simple usando .htaccess
http://www.elated.com / artículos / contraseña-proteger-su-pages-con-.htaccess /
