我正在尝试从 webapp 返回 401 错误代码以触发基本身份验证过程,但 tomcat 正在劫持响应以显示其状态报告页面。有没有办法阻止tomcat这样做并让错误代码一直到浏览器?
更新我的错误:我忘记了 WWW-Authenticate 标头
问问题
4734 次
5 回答
5
将响应状态设置为401只会告诉浏览器“禁止访问”,tomcat会显示错误页面。它本身不会触发身份验证过程。
要触发身份验证,您需要在响应中添加另一个标头:
httpResponse.setHeader("WWW-Authenticate", "Basic realm=\"MyApp\"");
其中“MyApp”是您想要的 HTTP 身份验证领域的名称。添加该标头,浏览器将弹出一个身份验证对话框并重试请求。
您应该知道,tomcat 仍然会连同标题一起发送错误页面,只是只要响应包含 auth 标题,浏览器就不会显示它。
于 2009-08-04T07:24:00.160 回答
3
对 Tomcat 附带的默认错误页面不满意?您可以在 web.xml 文件中定义自己的自定义错误页面。在下面显示的示例中,我们定义了 2 个网页——server_error.html 和 file_not_found.html——将分别在服务器遇到错误 500 或错误 404 时显示。
<error-page>
<error-code>500</error-code>
<location>/server_error.html</location>
</error-page>
<error-page>
<error-code>404</error-code>
<location>/file_not_found.html</location>
</error-page>
但是,您应该记住,web.xml 文件的标记顺序非常重要。如果你的 web.xml 文件中的顺序不正确,Tomcat 会在启动时输出错误
于 2009-08-04T06:05:17.803 回答
3
出现 Tomcat 错误页面可能是因为您没有为浏览器提供足够的信息来执行下一步操作。尽管您看到的是一个页面,但它不会有 200 状态代码。如果您检查标题,您会在其中看到 401。我怀疑是您的浏览器不知道下一步该做什么。
您没有在问题中说明您希望浏览器做什么,但也许您需要在 401 错误消息的 HTTP 标头中包含额外信息。error-page您可以通过将节点添加到 web.xml 文件来覆盖默认错误消息。该位置可以是 servlet 或 JSP,因此您可以提供一些逻辑,而不仅仅是一个静态页面。
<error-page>
<error-code>401</error-code>
<location>/my401.jsp</location>
</error-page>
于 2009-08-04T07:04:37.467 回答
1
上面的答案不是 100% 清楚的,所以这对我有帮助。我有一个静态的 401.html 页面,并且遇到了与原始海报相同的问题。我所做的只是将页面更改为 401.jsp 页面并将其转储到顶部:
<%
String realmName = "A nice name to show as the title of on the pop-up";
response.setHeader("WWW-Authenticate","Basic realm=\"" + realmName + "\"");
response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
%>
coderanch.com 上的以下帖子可作为指导。
所以简而言之,web.xml 的相关部分如下所示:
<!-- Internal server error. -->
<error-page>
<error-code>500</error-code>
<location>/errors/500.html</location>
</error-page>
<!-- Not found. -->
<error-page>
<error-code>404</error-code>
<location>/errors/404.html</location>
</error-page>
<!-- Unauthorized. -->
<error-page>
<error-code>401</error-code>
<location>/errors/401.jsp</location>
</error-page>
401.jsp 看起来像这样:
<%
String realmName = "A nice name to show as the title of on the pop-up";
response.setHeader("WWW-Authenticate","Basic realm=\"" + realmName + "\"");
response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
%>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>401 Unauthorized</title>
<meta name="description" content="The server has not found anything matching the Request-URI.">
<style type="text/css">
body {background-color:ffffff;background-image:url(http://);background-repeat:no-repeat;background-position:top left;background-attachment:fixed;}
h3{font-family:Arial;color:000000;}
p {font-family:Arial;font-size:14px;font-style:normal;font-weight:normal;color:000000;}
</style>
</head>
<body>
<h3>401 Unauthorized</h3>
<p>The request requires authentication.</p>
</body>
</html>
于 2010-08-28T20:08:19.890 回答
0
为什么不使用 web.xml 中的login-config、security-constraint和security-role元素呢?小例子:
<login-config>
<auth-method>FORM</auth-method>
<realm-name>Your-Name</realm-name>
<form-login-config>
<form-login-page>/login.jsp</form-login-page>
<form-error-page>/error_login.xhtml</form-error-page>
</form-login-config>
</login-config>
<security-constraint>
<web-resource-collection>
<web-resource-name>Some-Name</web-resource-name>
<url-pattern>/path/to/directory/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>USER</role-name>
<role-name>ADMIN</role-name>
</auth-constraint>
</security-constraint>
<security-role>
<description>Role for all users</description>
<role-name>USER</role-name>
</security-role>
<security-role>
<description>role for all admins</description>
<role-name>ADMIN</role-name>
</security-role>
想要访问您的 /path/to/directory/ 或其任何子目录的用户需要登录。仅当用户具有角色 USER 或 ADMIN 时才会授予访问权限。您甚至可以将其设置为根目录,这样所有用户都必须先登录..
于 2009-08-04T07:51:21.307 回答