基于表单的身份验证

Question

我有编写 Java 应用程序的经验，但从来没有任何 Web 应用程序，所以 xml 对我来说相对较新。我在研究中学到了很多东西，但我现在很困惑，希望大家能帮助我。

背景：我工作的公司聘请了一名承包商来开发库存软件。开发人员选择在公司的 Intranet 上创建一个 Web 应用程序（根本没有连接到 Internet）。几个月后，经过几次修改，开发人员出于未知原因退出了该项目（至少对我而言）。所以这里我使用 .war 文件进行逆向工程，然后完成项目！

我已经配置了 Tomcat 和 MS SQL Server，根据 Netbeans，所有连接都很好。我可以部署应用程序，但这是我卡住的地方。 index.jsp 包含一个 login.jsp。查看这些页面的代码让我感到困惑。

据我所知，开发人员正在使用基于表单的身份验证，以便在登录时确定用户角色。我根本不明白这段代码是如何重定向到任何页面的，更不用说做任何事情了：

<form method="POST" action='<%= response.encodeURL("j_security_check") %>' >
    <table border="0" cellspacing="5">
    <tr>
        <td>
            Username:<br>
            <input type="text" name="j_username" style="width: 200px;">
        </td>
    </tr>
    <tr>
        <td>
            Password:<br>
            <input type="password" name="j_password" style="width: 200px;">
        </td>
    </tr>
    <tr>
        <td><br></br><input type="submit" value="Log In" class="buttonStyle"> <input type="reset" class="buttonStyle"></td>
    </tr>
    </table>
</form>

具体来说，是什么告诉应用程序登录是好是坏？单击按钮时什么处理事件？

感谢您的耐心和帮助！

Answer 1

阅读Java Servlet Specification，特别是第 13.6.3 节。阅读规范听起来很吓人，但 Java Servlet 规范是我读过的最具可读性的规范之一：它是供程序员阅读的，而不是律师阅读的。

快速总结是，当用户尝试访问受保护的页面（并且尚未通过身份验证）时，他们会看到登录页面。 “提交”按钮将用户名和密码发布到 servlet 容器 (Tomcat)，该容器执行身份验证（检查用户名/密码）并返回登录页面（如果用户名/密码不正确）或将用户重定向回来到他们最初请求的受保护页面。

这里发生了一些不明显的事情，因为容器 (Tomcat) 正在为您处理它。阅读规范——实际上是整件事——会让你深入了解一切是如何工作的，并且会让你更好地准备好照看你继承的这段代码。

2014-10-22 13:45 EDT 更新

要确定正在执行的身份验证类型，您需要在 Web 应用程序的 META-INF/context.xml 文件或 Tomcat 的 conf/server.xml 中查找 <Realm> 元素，该元素嵌套在 Web 应用程序的 <Context> 元素中.它将指示正在使用的领域类型（通常“内存”代表conf/tomcat-users.xml，或DataSource/JDBC 表示身份验证信息在关系数据库中等）。

规范没有涵盖任何“领域”的东西。为此，您必须参考 Tomcat 文档，或加入 Tomcat 用户列表和社区。​​p>