问题标签 [security-constraint]

我需要在我的应用服务器 Apache Tomcat 6.0 上禁用 PUT、DELETE 和 TRACE HTTP 请求。

到目前为止，我搜索过的所有其他来源都将我引向了httpd.conf中的 limit 参数，因此我事先说明我没有使用 Apache Web Server，并且请求直接由 Tomcat 处理，并且所以图片中没有httpd.conf。

请建议我应该如何在Tomcat上做到这一点？

我已经使用 Apache 的 htpasswd 命令创建了一个用户数据库文件。这个文件现在被其他几个应用程序使用，比如 apache 和 subversion。

中的用户是这样创建的：

此用户文件是全局的，而不是每个目录。

如何让 Tomcat 6 使用同一个文件作为安全领域？

我正在尝试保护 tomcat 中的资源，以便只有“有效用户”（在领域中具有有效登录名和密码的用户）才能访问它。他们不一定属于领域中的一个组。我尝试了许多<security-constraint>指令组合但没有成功。有任何想法吗？

这是 web.xml 的摘录（使用它来配置 jboss/tomcat 网络服务）。只是想知道url-patterninweb-resource-collection是否相对于url-patternin servlet-mapping。

我正在开发一个网络应用程序。我希望能够让一些朋友看到它，而不是让其他偶然发现该网址的朋友看到​​它。我打算放一个登陆页面，然后放一个简单的密码框。输入正确的密码后，我只需将其记录在会话中，并在他们保持浏览器打开的其余时间里照常公开网站。

有没有标准的方法来做到这一点？我会在我的 webapp 中添加额外的代码来支持这一点，我不确定是否已经有内置的方法来做到这一点（我正在使用 java servlet）。

谢谢

我想将我的 Tomcat7 服务器的默认页面设为私有，即只有在.htaccess输入密码后才能访问。

我的意思是这个页面：

为此，我补充说：

到tomcat-users.xml.

然后我补充说：

到webapps/ROOT/WEB-INF/web.xml.

但是当我打开默认页面时，htaccess 对话框仍然没有出现。

我究竟做错了什么？

你如何否定tomcat中的安全约束？

基本上，我定义了一个安全约束，它为整个上下文设置基本身份验证。

如何从中排除一个文件，例如 /public-available.html？所以我对所有东西都有身份验证设置，除了这个资源。

为了在 Tomcat 下进行 SSL 配置测试，这都是强制性的吗？

下面这行取自一个网站：

为了在我们的测试中执行此操作，请使用已在 Tomcat 中成功部署的任何应用程序，并首先通过 http 和 https 访问它，看看它是否工作正常。如果是，则打开该应用程序的 web.xml 并在 web-app 结束之前添加此 XML 片段，即</web-app>：

此配置是否必须在 web.xml 文件中进行？

我将 Tomcat 用于我的 Struts2 应用程序。具有web.xml某些条目，如下所示：

如何将上述列入黑名单的部分更改为仅使用列入白名单的部分...例如，我需要将其他方法列入白名单，而不是 blacklisting PUT、DELTEhttp 方法，但我不确定将它们列入白名单的语法以及将它们列入白名单的方法。

对于我上面的web.xml片段，如果有人可以为我提供上面的 whitelisitng 对应部分，我将不胜感激xml。

编辑：另外，我将如何真正验证解决方案是否有效？

谢谢

运行 Tomcat 7，我试图在 Tomcat 服务器上配置 /conf/web.xml 以保护一些具有基本身份验证的 URL 并提供一些其他 URL 以供公共访问。

tomcat-users.xml 包含以下角色和用户：

我已将以下部分添加到 Tomcats /conf/web.xml

所以有两个“安全约束”元素，公共元素不包含“身份验证约束”，这实际上应该意味着，没有必要的身份验证。

当我打开 URL http://localhost:8080

Tomcat 要求进行身份验证。这很好，但是当我打开 URL http://localhost:8080/docs/

Tomcat 还要求进行身份验证，据我了解，这被配置为“非安全”URL - 因此可以公开访问，但它的行为并非如此。

我在配置中做错了什么，或者这种情况不应该像这样工作吗？

谢谢。保罗