我们在独立变体(嵌入式 tomcat)中运行 Jira 5.x。我们希望阻止任何没有有效 http 基本标头的请求到达 Jira 应用程序。或者,换句话说,强制 JIRA 使用 HTTP Basic 身份验证。是的,我知道在没有 tls 的情况下通过网络传输 http 基本凭据是不安全的,但是我们没有 SSL 证书,所以没关系(它不会比实际情况更糟)。
我读到 Jira 处理 HTTP 基本身份验证标头(如果它获取它们),并且附加?os_authType=basic到 URL 使 Jira 行为如我们所愿,但我们希望 Jira 强制执行 HTTP Basic。我们不在乎我们是否在 tomcat 中静态配置了某种“甚至在 jira 之前”登录,只要没有它就无法从外部访问 jira 应用程序。
有没有办法做到这一点?
我尝试添加:
<login-config>
<auth-method>BASIC</auth-method>
</login-config>
到 jira 的 web.xml 但这没有帮助。