허가된 사용자만 특정 웹 페이지에 접근 할 수있도록 제한하는 보안 기능
- 시큐리티 처리 방법
선언적 시큐리티- 코드 작성 없이 web.xml파일에 보안 구성을 작성하여 사용자의 인증을수행
프로그래밍적 시큐리티 - request내장갹체의 메소드를 통해 사용자의 권한 부여를 처리
웹서버 사용자와 역할구성
Servers-> Tomcat v9.0 Server at localhost-config-> tomcat-useers.xml->
< role rolename="tomcat"/>(역활)
< role rolename="role1"/>
< user username="tomcat" password="tomcat1234" roles="tomcat"/>(사용자)
< user username="both" password="both1234" roles="tomcat,role1"/>
< user username="role1" password="role1234" roles="role1"/> 역할과 사용장구성해줌
새로운 사용자를 추가하거나 삭제가능
선언적 시큐리티
web.xml파일에 보안 구성을 작성하여 사용자가 웹페이지에 접근할수있게함,보안역할,보안 제약사항,인증처리등 설정
<security-role>
<role-name>admin</role-name>-역할이름,톰캣에 설정한 rolename
</security-role>
<security-constraint>
<web-resource-collection>-웹자원에대한 접근설정
<web-resource-name>WebMarket</web-resource-name>-사용될 팩키지
<url-pattern>/addProduct.jsp</url-pattern>-접근 제한할페이지 경로
<http-method>GET</http-method>-전송방식 (GET,POST)
</web-resource-collection>
<auth-constraint>- 웹자원에 접근할수있는 인증된 사용자 설정
<description>관리자</description>- 설명
<role-name>admin</role-name>-사용자이름 , 톰겟에 설정한 rolename
</auth-constraint>
</security-constraint>
<!-- 인증방법 Basic 또는 form으로 설정
<login-config>
<auth-method>BASIC</auth-method>
</login-config>
-->
<login-config>-인증 방법설정
<auth-method>FORM</auth-method>-인증 처리 방식
<form-login-config>
<form-login-page>/login.jsp</form-login-page>
<form-error-page>/login_failed.jsp</form-error-page>
</form-login-config>
</login-config>
</web-app>- FORM형식 인증방식 사용시 로그인페이지 요구사항
form태그의 action속성=j_security_check
사용자 name속성=j_username
비밀번호 name속성=j_password
<form name="loginForm" action="j_security_check" method="post">
<p> 사용자명: <input type="text" name="j_username">
<p> 비밀번호 : <input type="password" name="j_password">
<p> <input type="submit" value="전송">
</form>