使用JavaEE的ServerAuthModule模块和web.xml进行相应配置,实现对用户的权限控制
2017-05-11 18:52
633 查看
ServerAuthModule这里不细说,可以自行百度。
重点在注释:
在项目中导入sam模块的jar包,将项目打成war包,放入JavaEE容器中,启动服务,如此就实现了一次URL级别的权限控制。
假设通过以上验证进入到了VerifyAuthModuleServlet的doPost方法中,
可以在doPost中加上以下
来获取到用户信息。
还可以加上以下来判断用户是否拥有其他角色:
注意:"spx.admin"必须是web-app划分出来的角色中的一种,否则这里一直false。这里和@RolesAllowed("spx.main")有所区别,@RolesAllowed("spx.main")只需用户有该权限即可,
而没必要一定要存在于<security-role>中。
EJB中进行方法级别的权限判断
如以下无状态会话bean
@RolesAllowed判断请求的用户是否拥有此权限,如果拥有权限则可以进入方法体,不拥有则抛出EJBAccessException异常
我们可以通过捕获该异常,给客户端相应的提示。
而且我们注意到上面可以在EJB中通过SessionContext.getCallerPrincipal()来获取到用户信息。
重点在注释:
<!-- 声明用于安全约束的角色 --> <security-role> <role-name>spx.main</role-name> </security-role> <security-role> <role-name>spx.user</role-name> </security-role> <security-constraint> <web-resource-collection> <!-- 这个名字是必须的,自定义,由工具使用,别的地方不使用 --> <web-resource-name>all</web-resource-name> <!-- 指定要受约束的资源,至少有一个。可以有多个. --> <url-pattern>/*</url-pattern> <!-- 指定受约束的方法 如果没有<http-method>元素,所有http方法都受到约束。 这里放置了POST方法,表示只有POST方法是受约束的。其他任何角色的人可以访问GET和其他的方法。 但不能访问POST方法,除非通过下面<auth-constraint>的验证。 --> <http-method>POST</http-method> </web-resource-collection> <!-- auth-constraint为可选 --> <!-- 如果没有<auth-constraint>表示所有角色都能访问POST方法,如果是<auth-constraint/>表示任何角色都不能访问POST方法 --> <auth-constraint> <!-- 可选。表示哪些角色能够在指定的资源上调用受约束的方法。这里表示只有拥有spx.user角色的人能够访问POST方法 角色与上面<security-role>里的<role-name>对应 --> <role-name>spx.user</role-name> </auth-constraint> </security-constraint>
在项目中导入sam模块的jar包,将项目打成war包,放入JavaEE容器中,启动服务,如此就实现了一次URL级别的权限控制。
假设通过以上验证进入到了VerifyAuthModuleServlet的doPost方法中,
可以在doPost中加上以下
UserInfo userInfo = (UserInfo)req.getUserPrincipal();
来获取到用户信息。
还可以加上以下来判断用户是否拥有其他角色:
if(req.isUserInRole("spx.admin")) {
res.setStatus(200);
res.getWriter().print(hello);
return;
}注意:"spx.admin"必须是web-app划分出来的角色中的一种,否则这里一直false。这里和@RolesAllowed("spx.main")有所区别,@RolesAllowed("spx.main")只需用户有该权限即可,
而没必要一定要存在于<security-role>中。
EJB中进行方法级别的权限判断
如以下无状态会话bean
@Stateless
public class HelloWorldBean implements HelloWorldLocal {
private Logger logger = Logger.getLogger(HelloWorldBean.class.getName());
@EJB //采用注解方式
private Other other;
@Resource
private SessionContext sessionContext;
@RolesAllowed("spx.user")
public String sayHello(String name) {
Principal principal = sessionContext.getCallerPrincipal();
logger.info("==========EJB============="+principal.getName());
return name+"说:你好世界!"+other.sayMe();
}
}@RolesAllowed判断请求的用户是否拥有此权限,如果拥有权限则可以进入方法体,不拥有则抛出EJBAccessException异常
try{
hello = helloWorldLocal.sayHello("jiangmeng");
}catch (EJBAccessException e){
res.setStatus(403);
res.getWriter().write("{\"err\":\"403 forbidden\"}");
}我们可以通过捕获该异常,给客户端相应的提示。
而且我们注意到上面可以在EJB中通过SessionContext.getCallerPrincipal()来获取到用户信息。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 使用JavaEE的ServerAuthModule模块和web.xml进行相应配置,实现对用户的权限控制
- servlet 3.0无需配置web.xml,使用注入方式配置servlet实现登陆功能(服务器需要支持servlet3.0)
- 您未被授权查看该页 您不具备查看该目录或页面的权限,因为访问控制列表 (ACL) 对 Web 服务器上的该资源进行了配置
- 使用Spring Security进行用户权限控制
- 使用angular 实现简单 用户-角色-菜单-按钮权限控制
- Spring MVC 4实现RESTFul WebServices的CRUD实例和使用RestTemplate进行请求(全注解形式配置Web和Filter)
- 基于.net mvc的校友录(五、web.config对的配置以及filter实现的权限控制)
- 配置web.xml和glassfish容器实现javaEE表单验证
- struts2如何使用拦截器进行用户权限控制
- 使用SpringMVC创建Web工程并使用SpringSecurity进行权限控制的详细配置方法
- 您不具备查看该目录或页面的权限,因为访问控制列表 (ACL) 对Web服务器上的该资源进行了配置
- 配置H3C交换机实例(设置安全策略版,通过源IP地址对WEB登录用户进行控制)[连载之电子商务系统架构]
- [Jersey]使用jersey实现RESTful web service 之 web.xml配置问题
- web项目使用配置web.xml实现重定向
- struts2如何使用拦截器进行用户权限控制实例
- 使用jquery.cookie.js实现记住用户信息(下面以web的记住登录名和密码为例进行说明)
- JavaEE 下面使用Spring 时 web.xml 中ContextLoaderListener的作用及配置,多个配置文件时contextConfigLocation的作用
- Spring Boot实战之Filter实现使用JWT进行接口认证 jwt(json web token) 用户发送按照约定,向服务端发送 Header、Payload 和 Signature,
- Linux下使用ACL命令实现控制用户的目录访问权限