问题标签 [security-constraint]

我目前有一个 REST API，必须通过 BasicAuth 进行身份验证，但后来有其他方法。

它在带有领域的 Tomcat 6 中设置，我的web.xml,

这对于像/rest/document/*.

我的问题是，有谁知道它是否可能或者如何在不构建和重新部署的情况下动态定义其他 URL？

例如另一个安全约束，

谢谢

我的web.xml：

我希望我的网络应用程序将未经授权的用户重定向到登录页面。有趣的是我有这个工作，但我做了一些愚蠢的改变，现在访问localhost:8080时我总是看到secure.xhtml，即使没有登录。localhost:8080/secured/secure.xhtml重定向很好。

我有一个 Java Web 应用程序，它使用安全约束来锁定对资源的访问。当 Ajax 请求需要身份验证时，我试图操纵 HTTP 401 响应，因此我创建了一个过滤器，用于观察响应中的 HTTP 状态并在需要时进行相应的修改。

问题是，似乎如果需要身份验证，过滤器直到 401 被发送到浏览器之后才会被调用。似乎安全约束在请求处理链中的过滤器之前。我的过滤器的 url 模式比任何安全约束都更通用。平台是 WebSphere。

我看不到 Servlet 2.5 规范中指定了安全约束和过滤器的优先级。我错过了什么吗？

security-constraint我可以通过在 web.xml 中定义（除其他外）来限制对 Web 应用程序的访问。每个安全约束包括 1)<web-resource-collection>包含一组受限资源，以及 2)<auth-constraint>包含一组授权用户（安全角色），这些用户可以访问此约束中定义的 web-resource-collection。

所以我认为我可以在每个约束中执行 a）定义单个资源（地址）和一组授权用户或 b）定义一组资源（地址）和单个授权用户。

我对吗？我的方法应该是什么。

例如，我定义了这样的约束：

但我不知道这是否是一种“正确的方式”:)

我有一个 Java Web 应用程序，它由各种 servlet 和 JSP 组成——例如：控制器 servlet /controller?abc=123&xyz=567、其他一些 servlet /showDocument?docid=55，以及一些对 JSP 的直接访问/userDetails.jsp。

我启用了网络安全以阻止对所有人的访问（如下所示），并且我有一个login.jsp链接到 css 文件的页面/styles.css。

当我访问任何 URL 时，我被重定向到 login.jsp 页面。

问题是：

(1) 登录页面上没有使用 CSS 样式，可能是因为它styles.css被认为是受保护的资源，而我还没有登录。

(2) 使用用户名和密码成功登录后，我被定向到 style.css 文件（在浏览器中显示为纯文本）。我猜这是因为指向 css 文件的 LINK 被认为是最近请求的受保护资源，所以它假设这就是我想要去的地方。

如果我将 CSS 内容复制并粘贴到我的 JSP 中，这两个问题都会消失，但是我在两个地方都有 CSS，style.css 和 login.jsp。

我该如何解决？有没有办法让我将 *.css 文件列入“白名单”，以免它们受到保护。我是否必须为要保护的特定类型定义不同的安全约束？

这是我的 web.xml 中的当前安全约束：

这就是我在我的 JSP 中链接到 CSS 的方式：

任何帮助是极大的赞赏！

抢

我快要完成我的Tomcat 配置了。

我遇到的麻烦与我的客户端应用程序和浏览器有关。

我希望当用户使用他的浏览器访问 Tomcat 时，它只能通过 https 访问，以便我可以使用证书进行身份验证。

在我的客户端应用程序中，当我与axis2通信时，我只想使用http，所以我不会超载服务器。我正在使用带有使用证书的密码回调的 apache 壁垒，因此不使用 https 没有问题。

现在，这就是问题的开始。这是我设法开始工作的内容：

在 tomcat 上允许 SSL，客户端认证就像浏览器的魅力一样。

但是，服务器仍然可以通过

关于这个问题，这是我的 server.xml：

它不应该重定向到 8443 端口吗？

我的客户端应用程序可以通过 8080 端口毫无问题地进行通信。

那么我做错了什么？

我添加了安全约束来保护应用程序的某些文件夹。

我向 tomcat-users 添加了适当的用户 SUPER，当我部署应用程序时，这一切似乎都运行良好。但是，当我通过 maven 从 exclipse 本地运行它时，使用 tomcat7:run，我的本地设置没有 tomcat-users.xml 文件，所以基本上我不确定如何在本地配置用户。安全有效，但未定义用户。

你能告诉我如何为 mavens tomcat 插件传递或指定自定义 tomcat-sers.xml 文件吗

在 Java EE Servlet 容器（Tomcat、Glassfish 等）的 web.xml 中，我可以设置一个安全约束来限制对某个资源的访问。

是否可以区分来自 localhost 的访问和所有其他访问？我想在 glassfish 服务器中为对 webapp 的所有外部调用启用身份验证，但不是从 localhost。那可能吗？

我需要为我的 web 应用程序的三个不同部分定义安全约束。一个/admin/*，一个，/account/*一个棘手的。最后一个应该匹配除前面的 url 模式（/*不包括/admin/*and /account/*）之外的所有内容。如何创建此约束？

以下部分应强制所有客户端使用 https 连接。

实际发生的是只有 index.html 页面受 ssl 保护。所以像：这样的请求http://localhost/JAX-RS_Service/被重定向到https://localhost/JAX-RS_Service/并显示 index.html 页面。但是http://localhost/JAX-RS_Service/index.html ，如果我尝试请求http://localhost/JAX-RS_Service/services/customers/1，则不会重定向到 https，因此所有内容都以明文形式通过网络发送。

执行身份验证也是如此

像这样的 url 模式<url-pattern>/services/*</url-pattern>不会完成这项工作。

为什么不<url-pattern>/*</url-pattern>为子定位工作。有没有办法解决这个问题？