java - IBM WAS 忽略 web.xml 中的安全性

Question

我有适用于 tomcat 网络服务器的网络应用程序。我想将它迁移到 IBM websphere AS，但我遇到了安全问题。整个应用程序的安全性在 web.xml 文件中定义，如下所示：

<welcome-file-list>
    <welcome-file>index.jsp</welcome-file>
</welcome-file-list> 

<security-constraint>
    <web-resource-collection>
        <web-resource-name>Dynamic pages</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <description>access.</description>
        <role-name>user</role-name>
    </auth-constraint>
</security-constraint>

<login-config id="LoginConfig_1">
    <auth-method>FORM</auth-method>
    <realm-name>SecureRealm</realm-name>
    <form-login-config id="FormLoginConfig_1">
        <form-login-page>/login.jsp</form-login-page>
        <form-error-page>/loginFail.jsp</form-error-page>
    </form-login-config>
</login-config>

<security-role>
    <description>User of the application.</description>
    <role-name>user</role-name>
</security-role> 

Websphere 忽略所有这些安全性，并允许我从 Web 应用程序访问任何页面而不显示登录页面。如果我手动进入 login.jsp 并将正确的密码输入到应用程序中，但它会失败，getUserPrincipal()因为它返回 null（没有登录）。如果我把错误的密码转发给 loginFail.jsp 也是一样的。
服务器日志中也没有错误。
我在做什么错或与tomcat不同？
感谢帮助。

Answer 1

WebSphere 安全性可能未启用。如果不是，您的 web.xml 设置将被忽略。

在管理控制台中，查看 Security -> Global Security 部分。确保选中“启用应用程序安全性”。

请注意，您可以在不同的“级别”（节点、服务器等）创建不同的安全设置。如果您在 Security -> Security Domains 中定义了多个域，请确保运行您的 webapp 的应用服务器具有正确的域集。