问题标签 [realm]

我试图在 Tomcat 7.0.32 中嵌套 Realms 如下（这里用伪 XML 编写）：

这似乎不起作用 - 是否可以在 Tomcat 中将 Realms 嵌套两个以上的级别？我在日志中收到警告：

背后的想法是，Web 服务有一些不能被锁定的关键用户（例如作为 DOS）和一些普通用户，这些用户的密码可能较弱，lockoutRealm 应该处于活动状态。我敢肯定，其他人也遇到过这种情况。

如果有其他方法可以实现这一点（例如 LockoutRealm 的白名单），请告诉我。

还需要单点登录。

我想扩展现有的 LockoutRealm 代码并使用一个永不锁定的帐户列表是一种选择，但我不太热衷于编写自己的 Realm，我宁愿不在该级别上向 Tomcat 添加自定义代码，因为这将对其他人来说设置复杂，并且每次 Tomcat 更新都可能会中断等。

谢谢你的帮助！

这是我的测试配置的 server.xml 的相关部分：

我目前正在 Glassfish 上运行 JPA/EJB/JSF 应用程序，并使用安全 JDBC 领域进行身份验证。该领域运行良好，满足要求，直到客户要求对导航进行小幅更改。

今天，如果您尝试访问受保护的页面，身份验证机制会将您重定向到 web.xml 中指定的登录页面。完美的！身份验证成功后，您将被重定向回您尝试访问的页面。很公平。但是，客户决定在每次成功的身份验证后，无论他/她之前尝试访问哪个页面，都应该将用户重定向到主页。问题是，我们如何更改领域以便在每次成功验证后重定向到固定页面？

我正在使用 PHP 在 Apache HTTP 服务器（2.2 版）上实现 HTTP 基本身份验证。我想用密码保护的唯一目录是我网站的主要公共 Web 根目录的子目录（例如，我们称受保护目录为“/private”，其领域为“Private”）。

如果可能的话，我希望已经在“私人”领域中通过身份验证的用户（并且仅限于这些用户）在网站的主页（以及任何其他网页，就此而言）查看自定义内容。

我想知道的是，是否可以在不强制在我的域顶级的顶级登录提示的情况下执行此操作（例如www.jdclark.org，或者，就此而言，如果“私人”领域之外的任何其他 URI）？

编辑：

我考虑过的一种实现上述目的的技术如下：当用户通过“/private”目录中的访问控制被认证到“Private”领域时，可以在 PHP 中设置会话 cookie。然后我可以检查这个 cookie 的存在（它可能包含会话 ID 或某种唯一的随机字符串），但是虽然我不宣称自己是 IT 安全专家，但这种方法感觉有点“骇人听闻” ,” 并且有些东西告诉我这是不安全的（例如，恶意用户使用 HTTP 标头来欺骗该 cookie 会很简单吗？）。任何建议将不胜感激。

我正在构建一个 Maven Web 应用程序用户身份验证。我在 Glassfish 中创建了一个新的 JDBC 领域，并使用 JPA 设置了我的域类。我可以使用一些创建的用户登录，并可以检查他们是否具有特定角色。但是当我保护一个 bean 时，我总是可以访问它.... 安全注释被忽略，例如 @RolesAllowed、@DenyAll

我正在开发一个具有分离和孤立宇宙的游戏（对于那些了解这个游戏的人来说，就像 ogame）。一名玩家（帐户）与一个 Universe 相关联，但一名玩家（物理）可以为每个 Universe 创建一个帐户。

所以玩家可以在玩的时候登录多个宇宙并切换宇宙。

为此，我创建了Authentication存储id记录的玩家和宇宙名称（这是我的 PostgreSQL 数据库中的模式名称）的类。

所以，一个Authentication对象代表一个登录的玩家。为了管理应用程序角色，我使用了一个自定义领域，它只收集id和宇宙名称（来自我的Authentication对象）来处理 SQL 请求并获取组名以将其转换为角色。

所有这些机制都可以正常工作。

我想知道这样做是否真的安全？攻击者可以向我的领域发送请求并注入他的请求id和宇宙名称以直接处理身份验证吗？因为我的领域既不需要密码也不需要用户名（之前在我的应用程序中处理以创建Authentication对象），这样的恶意请求可能会起作用。

所以我的问题只是想知道是否可以在我的 Java 应用程序（或我的 Glassfish 服务器）之外发出对我的领域的请求？

在基于 Spring 的 Web 应用程序中，我一直在努力使用 shiro 1.2.1 进行 authenticationStrategy 设置。我有2个领域。一个针对 ldap 进行身份验证database，一个针对 ldap。两者realms都工作正常，只是我想要一个FirstSuccessfulStrategy，但似乎两个领域仍在被调用。这是我的安全应用程序上下文：

有什么我做得不好的吗？

我正在尝试通过 WLS 控制台自动执行以下步骤：

一个。在 Weblogic 控制台的主页中，单击左侧的 Deployments 链接表单，找到“gateway-management-service”

湾。展开“gateway-management-service”并点击“GatewayManagementService”（这是一个webservice模块）

C。单击安全选项卡，然后单击角色选项卡。

d。单击“Web 服务模块作用域角色”部分中的“新建”。

e. 在新窗口中，将名称设置为“Special WS Role Enforcement”，然后单击“确定”。

F。单击链接“特殊 WS 角色实施”。

G。在新页面中，单击“添加条件”并在新页面中选择“用户”，然后单击下一步。

H。在新页面中，在“User Argument Name”中输入“CSR.gatewaywsuser”，然后点击“ADD”

一世。单击完成。

j. 节省。

我有 test.py 作为：

我像这样运行这个脚本：

我的问题：执行上述脚本后，当我转到控制台 -> 部署 -> 网关管理服务 -> GatewayManagementService -> 安全选项卡 -> 角色子选项卡时，我看不到角色。如果尝试再次运行脚本，它将失败并出现 weblogic.management.utils.AlreadyExistsException: [Security:090320]Failed to create role

我究竟做错了什么？

在运行 test.py 后，我尝试同时弹跳我的托管服务器和管理服务器，看看是否有帮助，但没有成功。

我正在尝试使用 Tomcat 7 中的 MySql 连接池设置领域。我已阅读所有文档并阅读了人们遇到的许多类似问题，但都没有运气。

我已经为连接池配置了 Tomcat 7，我使用 test.jsp 成功测试了该连接池（图 1）。

图 2 是我的应用程序上下文文件。请注意，注释掉的领域有效（显然在没有注释掉时），但我相信它不使用连接池或 jndi 资源。相反，它每次都会创建一个新连接。未注释掉的领域，引用了 JNDI 配置的连接池。这与图 1 中的测试代码使用的 JNDI 资源相同。但是，当领域尝试验证用户登录请求时，它会引发异常（图 3），说明Name jdbc is not bound in this Context. 我在这里使用 DataSourceRealm 是否弄错了？我错过了什么？

图 1 - test.jsp（工作正常）：

图 2 - Context.xml：

图 3 - 我得到的异常：

这可能是我犯的一些愚蠢的错误，但我已经为此工作了好几天。

我正在使用 Workilight 6.0 版，并且正在尝试对 Workilght 的适配器进行安全测试。首先，我开发了一个登录页面和主页，在用户通过身份验证后，我将在其中显示一些信息。身份验证似乎没问题，因为我正在获取用户信息和会话 ID，我将使用安全测试在下一个 HTTP 适配器的 cookie 中发送它们。

问题是我从指定的适配器获取 NullPointerException，但是当我使用 RestClient 执行请求时，我得到了响应，因此 WS 正常。

任何人都知道如何做到这一点？

PS：我的代码在 worklight V5.0 上工作，但在 V6.0 上不工作

我有有效的用户名和密码，用于安全访问（使用领域的安全测试）程序。我需要在不询问或显示登录表单的情况下访问安全程序。

我如何实现这一目标？