那些遇到过的问题

web.xml中的多个安全性约束无法正常工作

Pat*_*ity 4 tomcat servlets tomcat7 security-constraint

我正在升级一个Web应用程序(Servlet 3.0/Tomcat 7),它需要在大多数页面上进行基本身份验证.该应用程序有一小组监视servlet,其中没有一个应该受到保护.在我web.xml,我目前有以下security-constraint块(私人信息替换为字母表):

<security-constraint>
    <display-name>Security Constraint</display-name>
    <web-resource-collection>
        <web-resource-name>Protected Area</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <role-name>CN=A,OU=B,OU=C,OU=D,DC=E,DC=F</role-name>
    </auth-constraint>
</security-constraint>

<security-constraint>
    <web-resource-collection>
        <web-resource-name>Unprotected Pages</web-resource-name>
        <url-pattern>/health/*</url-pattern>
    </web-resource-collection>
</security-constraint>
Run Code Online (Sandbox Code Playgroud)

在"健康"路径中有三个端点:

  • /health/monitor/status
  • /health/monitor/version
  • /health/monitor/version/xml

当我访问任version一端点时,系统不会提示我输入凭据(如预期的那样).但是,当我访问该status页面时,浏览器向我提供了一个基本的身份验证框.当我点击"取消"时,我被允许正常加载页面.同样,如果我已经登录,状态屏幕将不会再次提示我,直到我的登录过期.

我意识到这可以通过不部署安全内容来解决/*,但移动它将是很多工作改变硬编码路径和测试(这是一个非常古老的应用程序).​​.....我还有5或6个以上做.如果有必要,我愿意这样做,但我想知道这是否可行而不改变任何安全内容路径.我有在监视servlet的路径完全的自由.

这似乎与Tomcat 7有关- 多个安全约束不起作用,而不是完全失败只是我的一个端点失败,我觉得很奇怪.我花了一些时间搜索,它看起来像我正在做的应该工作......但事实并非如此.

我正在使用web-app3.0版,部署到Tomcat 7(尝试过7.0.42和7.0.47版).我已经尝试改变security-constraint块的顺序.

思考?

这是我的全部web.xml参考(注意监视servlet是通过Java注释管理的,因此不存在):

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="3.0"
     xmlns="http://java.sun.com/xml/ns/javaee"
     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
     xsi:schemaLocation="http://java.sun.com/xml/ns/javaee
     http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd">

<display-name>TPS</display-name>

<servlet>
    <servlet-name>CFMLServlet</servlet-name>
    <servlet-class>railo.loader.servlet.CFMLServlet</servlet-class>
    <init-param>
      <param-name>configuration</param-name>
      <param-value>/WEB-INF/railo/</param-value>
    </init-param>
    <load-on-startup>1</load-on-startup>
</servlet>

<servlet>
    <servlet-name>AMFServlet</servlet-name>
    <servlet-class>railo.loader.servlet.AMFServlet</servlet-class>
    <load-on-startup>1</load-on-startup>
</servlet>

<servlet>
    <servlet-name>AttachmentServlet</servlet-name>
    <servlet-class>com.package.toolshed.AttachmentServlet</servlet-class>
    <init-param>
        <param-name>configFilePath</param-name>
        <param-value>com/package/toolshed/configuration/tps-config.xml</param-value>
    </init-param>
    <init-param>
        <param-name>configPathParam</param-name>
        <param-value>attachment.servlet.pathPrefix</param-value>
    </init-param>
    <load-on-startup>6</load-on-startup>
</servlet>


<servlet-mapping>
    <servlet-name>CFMLServlet</servlet-name>
    <url-pattern>*.cfm</url-pattern>
</servlet-mapping>
<servlet-mapping>
    <servlet-name>CFMLServlet</servlet-name>
    <url-pattern>*.cfml</url-pattern>
</servlet-mapping>
<servlet-mapping>
    <servlet-name>CFMLServlet</servlet-name>
    <url-pattern>*.cfc</url-pattern>
</servlet-mapping>
<servlet-mapping>
    <servlet-name>AMFServlet</servlet-name>
    <url-pattern>/flashservices/gateway/*</url-pattern>
</servlet-mapping>
<servlet-mapping>
    <servlet-name>AttachmentServlet</servlet-name>
    <url-pattern>/attachments/*</url-pattern>
</servlet-mapping>
<servlet-mapping>
    <servlet-name>default</servlet-name>
    <url-pattern>/</url-pattern>
</servlet-mapping>

<welcome-file-list>
    <welcome-file>index.cfm</welcome-file>
    <welcome-file>index.cfml</welcome-file>
</welcome-file-list>

<security-constraint>
    <display-name>Security Constraint</display-name>
    <web-resource-collection>
        <web-resource-name>Protected Area</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <role-name>CN=A,OU=B,OU=C,OU=D,DC=E,DC=F</role-name>
    </auth-constraint>
</security-constraint>

<security-constraint>
    <web-resource-collection>
        <web-resource-name>Unprotected Pages</web-resource-name>
        <url-pattern>/health/*</url-pattern>
    </web-resource-collection>
</security-constraint>

<login-config>
    <auth-method>BASIC</auth-method>
    <realm-name>TPS</realm-name>
</login-config>

<security-role>
    <role-name>CN=A,OU=B,OU=C,OU=D,DC=E,DC=F</role-name>
</security-role>
</web-app>
Run Code Online (Sandbox Code Playgroud)

Pat*_*ity 5

想出这个.

事实证明,状态servlet正在加载CSS文档,并且该加载正在触发auth.令我困惑的是状态和版本加载JSP,并且这些JSP不需要在安全约束中考虑(我最初采取的步骤之一是添加*.jsp到我的安全约束中).JSP存在于与CSS相同的路径中.

新的,有效的web.xml

<security-constraint>
    <web-resource-collection>
        <web-resource-name>Unprotected Pages</web-resource-name>
        <url-pattern>/health/*</url-pattern>
        <url-pattern>/monitoringCommon.css</url-pattern>
    </web-resource-collection>
</security-constraint>
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

15550 次

最近记录:

7 年,9 月 前
相关归档
web.xml验证错误 8
连接池异常:无法获取连接,池错误超时等待空闲对象 8
如何在Windows下使用特定的server.xml启动Tomcat? 7
Spring调用错误的控制器映射 5
spring boot框架下如何过滤tomcat生成的访问日志 5
如何在 Jakarta-EE 项目中使用 @Resource 注入 Tomcat 数据源? 5
ProcessRequest方法 4
web.xml中的<error-page>标记不会捕获java.lang.Throwable异常 3
why html tags are not working inside servlet? 1
http转换为https进入无限循环 0
难疑归档
在JavaScript中深度克隆对象的最有效方法是什么? 5181
如何在Java中生成特定范围内的随机整数? 3373
C++中指针变量和引用变量之间有什么区别? 3115
我应该在MySQL中使用日期时间或时间戳数据类型吗? 2598
使用__init __()方法理解Python super() 2366
什么是Android上的"上下文"? 1872
如何在Python中删除尾部换行符? 1593
如何计算列表项的出现次数? 1417
如何在JavaScript正则表达式中访问匹配的组? 1277
HTML中"role"属性的目的是什么? 1122