2

我即将从大学毕业,需要在学校实施一个 Web 应用程序,一切都运行良好,这需要在 11 月之前准备好,但我在处理安全性方面遇到了真正的麻烦。应用程序必须能够拥有具有一个或多个不同角色的不同用户(用户 1:角色:学生;用户 2:管理员,用户 3:教授、老板)。

当用户登录时,应根据其所拥有的角色将其重定向到不同的视图,然后如果他尝试访问其角色不允许的资源,则应显示错误页面。

这是我迄今为止尝试过的:

方法一:

身份验证方法:在 web.xml 中指定为

<login-config>
   <auth-method>FORM</auth-method>
   <form-login-config>
      <form-login-page>/login.jsp</form-login-page>
   </form-login-config>
</login-config>

然后在自定义 jsp 上使用名称 j_username 和 j_password 以及 j_security_check。

授权方法:通过DataSourceRealm使用 Container Security (Tomcat) ,它允许我们连接到数据库并从需要映射到 server.xml 的 2 个表中获取用户和与他关联的角色:

<Resource auth="Container" driverClassName="com.microsoft.sqlserver.jdbc.SQLServerDriver" maxActive="100" maxIdle="30" maxWait="1000" name="jdbc/sstt" password="pass" type="javax.sql.DataSource" url="jdbc:sqlserver://localhost;databaseName=BDTT" username="sa"/>

网页.xml:

<security-constraint>

    <web-resource-collection>
        <web-resource-name>Students Only</web-resource-name>
        <url-pattern>/student/*</url-pattern>
    </web-resource-collection>

    <auth-constraint>
        <role-name>student</role-name>
    </auth-constraint>

</security-constraint>

// Same mapping for professor, admin, and boss (/professor/* maps to professor role)

结果:每当我尝试访问受限区域时,例如 /members/(在 web.xml 中的安全约束中配置)它都会完美运行,从而实现了授权目标。

问题: 当我提交登录表单时,它会触发 j_security_check,因此我无法触发可以帮助我根据用户角色进行重定向的 Struts2 Action,这是主要问题。一切都很完美,但我在使用 Container 安全登录后找不到重定向的方法。

方法二:

Authentication Method:一个LoginAction 类,它查询数据库并检查密码是否正确。它还检查用户角色,在这里我们应该能够返回一个像“admin”或“student”这样的字符串并重定向到适当的 index.jsp 资源,但这只有在用户被允许只有一个角色时才有效,但是他们可以有很多,那么应该如何根据总用户角色构建视图?我们会返回什么字符串?

授权方法:我编写了一个自定义拦截器,它从会话中检索用户对象(只有当用户成功验证时,此用户对象才应在会话中),然后在此处执行授权逻辑。

问题: 无法找到根据多个角色构建视图的方法,而拦截器的问题是它只保护我的动作,所以授权目标已经实现但仅限于动作,这意味着我可以写 /students/并且 URL 将更改为 /students/index.jsp,甚至无需尝试授权。

其他计划

我在想也许我可以使用过滤器来获得授权(这样我可以保护动态和静态资源)但我不知道这是否是一个好习惯,因为我们已经配置了映射到 / 的 Struts2 过滤器*

我也在寻找我可以使用JAASSpring Security但我不知道我是否可以实现这一点,身份验证,基于角色的重定向和授权。我不想再花几个小时来发现我不能做我需要的事情,而且我只有很短的时间来完成这个。

其他问题

把jsp放到WEB-INF下真的是个好习惯吗?如果是这样,我应该将 struts.xml 中对我的 jsp 的所有访问重写为 WEB-INF/jsp/students/index.jsp?( 例如 )。或者我应该坚持 web.xml 中定义的安全约束以避免直接访问 /jsp/* url 模式?

非常感谢您的所有时间和帮助。

4

1 回答 1

2

对于方法1中的问题:你可以编写Struts2拦截器来实现你想要的。

对于 Spring Security 示例,请参阅我对这个问题的回答https://stackoverflow.com/questions/12615354/how-to-implement-role-based-login/12629731#12629731

是的,将 jsp 放在 WEB-INF 文件夹下是一个好习惯。请参阅为什么将 JSP 放入 WEB-INF?

于 2012-09-28T15:29:43.157 回答