使用JAVA开发FORM身份验证的Web应用程序

文章作者 100test 发表时间 2007:10:19 12:45:35
来源 100Test.Com百考试题网

将 FORM 身份验证用于 Web 应用程序时，将提供一个自定义登录屏幕（Web 浏览器在响应 Web 应用程序资源请求时显示）和一个错误屏幕（在登录失败时显示）。可以使用 HTML 页、JSP 或 Servlet 生成登录屏幕。基于表单登录的优点是：可以完全控制这些屏幕，因此可以将它们设计得满足应用程序或企业策略/准则的要求。
登录屏幕提示用户输入用户名和密码。图 3-4 所示为使用 JSP 生成的典型登录屏幕，而清单 3-5 所示则为源代码。
图 3-4 基于表单的登录屏幕 (login.jsp)

清单 3-5 基于表单的登录屏幕源代码 (login.jsp)
) Security WebApp login page bgcolor="#cccccc">

Please enter your user name and password:

border=1> Username: Password:

图 3-5 所示为使用 HTML 生成的典型登录错误屏幕，而清单 3-6 所示则为源代码。
图 3-5 登录错误屏幕

清单 3-6 登录错误屏幕源代码
Login failed bgcolor=#ffffff>

Sorry, your user name and password were not recognized.

Return to welcome page or logout

要开发提供 FORM 身份验证的 Web 应用程序，请执行下列步骤：
创建 web.xml 部署描述符。请在该文件中包括以下信息（请参阅清单 3-7）：
定义欢迎文件。欢迎文件的名称为 welcome.jsp。
为计划要保护的每组 URL 资源定义安全约束。每组 URL 资源共享一个通用的 URL。通常，HTML 页、JSP 和 Servlet 等 URL 资源受最大的保护，但其他类型的 URL 资源也受支持。在清单 3-7 中，URL 模式指向 /admin/edit.jsp，从而保护位于 Web 应用程序的 admin 子目录中的 edit.jsp 文件；定义可以访问 URL 资源的 HTTP 方法 (GET)；并定义安全角色名 admin。 注意：安全角色名称中不能包含连字符。在管理控制台中，无法修改含连字符的安全角色名称。另外，BEA 建议对安全角色名使用以下约定：它们应该独一无二。
定义要使用的身份验证类型以及将应用安全约束的安全领域。在本例中，指定了 FORM 类型，但未指定领域，因此，领域是默认领域，这意味着安全约束将应用到 WebLogic Server 实例启动时激活的安全领域。
定义一个或多个安全角色并将它们映射到安全约束。在我们的示例中，只在安全约束中定义了一个安全角色 admin，因此在此处只定义一个安全角色名称。但是，实际上可以定义任意数量的安全角色。
清单 3-7 FORM 身份验证 web.xml 文件


welcome.jsp
AdminPages These pages are only accessible by authorized administrators. /admin/edit.jsp GET These are the roles who have access. admin This is how the user data must be transmitted. NONE