在Weblogic环境中实现Servlet应用

在Weblogic环境中利用应用服务器本身的配置，可以比较全面的实现用户认证  。由于我们主要是面向开发，这里主要讲解Servlet应用用户角色规则（也就是我们常说的http用户认证，下面还是使用这个我们熟悉的名词吧）  。

Weblogic用户认证的三种方式

在Weblogic环境应用服务器中，系统提供了三种不同的用户认证方式：

1、BASIC

基本的身份认证方式，使用WEB浏览器弹出一个要求输入用户名和密码的对话框  。这个用户名和密码将在网站的某个（些）内容模块中被强制要求  。

2、FORM

基于FORM的用户认证要求你返回一个包括用户名和密码的HTML表单，这个表单相对应与用户名和密码的元素必须是j_username和j_password，并且表单的action描述必须为j_security_check  。下面是一个表单的例子:

<form method="POST" action="j_security_chack"> 
<input type="text" name="j_username"> 
<input type="password" name="j_password"> 
form> 

包括这个表单的资源可以是一个HTML页面、一个JSP页面或者一个Servlet  。你可以在元素中定义  。当这个认证页面被提交的时候，将创建一个HTTP session  。所以，当认证成功后，使用session.isNew()方法将获得一个FALSE的返回  。

3、CLIENT-CERT

就是使用客户数字证书来认证请求，一般都和SSL相联系  。如果需要使用请参考有关SSL相关内容  。

使用何种认证方法，可以在web.xml里的元素中的子元素里定义  。可能的选择的值为BASIC或FORM或CLIENT-CERT三者之一  。

Servlet应用用户认证

要Servlet应用用户认证，必须先对web application进行相应的配置  。

1、修改Weblogic.xml文件中的相关条目：

<security-role-assignment> 
<role-name>mgrrole-name> 
<principal-name>alprincipal-name> 
<principal-name>georgeprincipal-name> 
<principal-name>ralphprincipal-name> 
security-role-ref> 

注：是角色名，例如现在这是管理员，然后元素中指定角色所包括的所有用户名  。

2、在web.xml的元素中定义要使用的角色名mgr（在元素中），并在注册项中为mgr角色做一个链接（manager）

<servlet> 
...  
<role-name>managerrole-name> 
<role-link>mgrrole-link> 
...  
servlet> 
<security-role> 
<role-name>mgrrole-name> 
security-role> 

到这里服务器上的配置文件就完成了所需要的修改  。

3、在Servlet中引用服务器的角色认证，只需要在合适的地方加入下一语句即可  。

isUserInRole("manager");

值得注意的是，当用户认证顺利返回后，一个session将被建立  。而在Weblogic环境中，缺省的情况下各个web appliction都使用相同的cookie名（JSESSIONID），所以当任何一个认证成功以后，所有的Web Application都将使用这个相同的cookie名来保存有关认证的信息，从而实现“全站通”概念  。假如你想对某个Web Application使用一个单独的认证，你可以为这个应用单独定义一个cookie名，这可以通过对Weblogic.xml里的元素有关内容进行相应修改  。