jon*_*rom 5 java authentication jaas tomcat8
我在Tomcat 8.x Web服务器上使用JAAS和基于表单的Web身份验证.在尝试登录时,用户被拒绝访问的原因有很多:
在我的LoginModule中,我检查所有这些条件以及更多,如果不允许用户访问Web应用程序,则抛出LoginException.JAAS似乎捕获抛出的LoginException,抛弃它,并将用户重定向到web.xml中指定的错误页面.
我花了几个小时的时间在谷歌上搜索,试图找到一种方法来获取登录异常的原因,但却出现空洞.
有没有办法让错误页面找出抛出LoginException的原因?
- 无效的用户名
- 无效的密码
您不应该区分这两种情况。这样做会在攻击者找到有效用户名后减少他的搜索空间,从而构成对攻击者的信息泄露。您应该只报告“无效的用户名/密码组合”或类似内容。
- 数据库中没有帐户
这与(1)相同。
- 数据库中的帐户未激活
如上所述,这又不应该被区分。
- 数据库中的帐户没有所需的角色
这不是登录失败。当用户执行需要缺少角色的操作时,这将成为访问拒绝,或者导致用户界面不显示缺少角色的操作。
我采用的将适当的 JAAS 错误传递给应用程序的解决方案是将它们添加为Subject.
| 归档时间: |
|
| 查看次数: |
297 次 |
| 最近记录: |