在 Java EE 7 中使用 j_security_check 对用户进行身份验证

Question

我现在练习 Java EE 7。我在尝试使用容器提供的方式（即j_security_check）对用户进行身份验证时遇到问题。

• 应用服务器：Apache Tomcat 7
• 项目/应用程序名称：ServletDrill
• 用@WebServlet 注释的资源（Servlet）

我的Web.xml：

    <?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" id="WebApp_ID" version="3.0">
  <display-name>ServletDrill</display-name>
  <welcome-file-list>
    <welcome-file>index.html</welcome-file>
    <welcome-file>index.htm</welcome-file>
    <welcome-file>index.jsp</welcome-file>
    <welcome-file>default.html</welcome-file>
    <welcome-file>default.htm</welcome-file>
    <welcome-file>default.jsp</welcome-file>
  </welcome-file-list>

  <security-constraint>
    <web-resource-collection>
      <web-resource-name>To_Auth</web-resource-name>      
      <url-pattern>/auth/*</url-pattern>
      <http-method>GET</http-method>
      <http-method>POST</http-method>
    </web-resource-collection>
    <auth-constraint>
      <role-name>valid</role-name>
    </auth-constraint>
  </security-constraint>

  <login-config>
    <auth-method>FORM</auth-method>    
    <form-login-config>
      <form-login-page>/FormAuth.jsp</form-login-page>
      <form-error-page>/LogInErr.jsp</form-error-page>
    </form-login-config>
  </login-config>
</web-app>

我的tomcat-users.xml：

<tomcat-users>
<role rolename="valid"/> 
 <user username="username" password="pass" roles="valid"/>
</tomcat-users>

我的<form>：

<form action="/ServletDrill/j_security_check" accept-charset="UTF-8" method="post">
<fieldset id="postForm">
<legend>j_security_check method</legend>
<div class="partContainer">
<div class="left"><label for="user" >User Name: </label></div>
<div class="right"><input type="text" name="j_username" id="user" required="required" maxlength="20"></div>
</div>
<hr/>

<div class="partContainer">
<div class="left"><label for="pass" >Pass: </label></div>
<div class="right"><input type="password" name="j_password" id="pass" required="required" maxlength="20"></div>
</div>

<hr/>
<div class="partContainer">
<div class="left"><input type="submit" value="Log In"></div>
<div class="right"><input type="reset" value="Reset"></div>
</div>
</fieldset>
</form>

我的受保护资源（Servlet）：

@WebServlet("/auth/NeedsPriorAuth")
public final class NeedsPriorAuth extends HttpServlet {

    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {       
        response.getWriter().append("Welcome, "+request.getRemoteUser()+". The user has been authenticated before hand").append("\n Auth Type: "+request.getAuthType());
    }
}

当我执行以下链接时，

 <a href="/ServletDrill/auth/NeedsPriorAuth">Access Protected Servlet</a>

，用户在下一页重定向验证，

<form-login-page>/FormAuth.jsp</form-login-page> 

（我在上面发布的<form>）。 尽管传递了正确的凭据（上面发布在tomcat-users.xml），但用户还是重定向到了以下错误页面（上面发布在Web.xml）：

<form-error-page>/LogInErr.jsp</form-error-page>

给我带来如此不便的罪魁祸首是什么？我已经被这个问题困扰了好几天了。 <realm>呢，我需要吗？

有什么想法吗？

Answer 1

你去，最后，我已经解决了这个问题。我需要应用的修改：

<form action="j_security_check" accept-charset="UTF-8" method="post">

也就是说，action 没有应用程序上下文前缀。 另一件事是，就我而言，有 2 个 tomcat-users.xml 文件实例：

• 在 Apache Tomcat v7 目录下（服务器应用）
• 还有一个可从Project Explorer in Eclipse 访问的，在Servers2 名称下

当您修改角色、用户名和密码时，如果您想看到影响发生，请在后面的示例中进行修改；之后服务器重启。