问题标签 [security-constraint]

我想知道以下配置是否安全：

在位置/ManageXXXX.do, /ManageYYYY.do, ... 可访问的网页应该只能通过admin角色访问，其他所有页面都可供任何人使用。

我已将 web.xml 文件配置为：

现在我想知道这对于试图通过安全的人来说有多可靠。这可以保证阻止Manage*未经授权的用户访问我的页面吗？我只想知道这种模式匹配有多安全。

我正在使用 Java ee 创建一个 Web 应用程序。我有一个 glassfish v4 服务器，现在我正试图通过在我的 web.xml 文件中指定安全约束来使安全性工作。

我的应用程序名为 linkUI，我想尝试创建一个保护区，您必须在其中登录才能访问 localhost:8080/linkUI/area 上的任何资源，因此我在 web 中为此添加了一个安全约束。 xml。但是当我尝试访问这个地址时，我得到“HTTP 状态 404 - 未找到”（我还没有在那里创建任何资源），而不是被重定向到我在部署描述符中配置的登录页面。它似乎确实找到了部署描述符，因为当我直接登录到 login.jsp 时，它会将我重定向到预期的错误页面。尽管我在 glassfish 服务器上添加了用户和组并启用了默认主体到角色映射，但登录似乎总是失败，如下所示：http: //docs.oracle.com/javaee/6/tutorial/doc/bncbx.html#来自.

我不确定现在要检查什么。有什么建议么？

这是我的 web.xml：

当我向 jetty 服务的 EJB 发送 GET http 请求时，即使 auth 参数正确，我也经常收到 401 响应。

当我查看码头日志时，我看到了这个：

我怀疑请求未完全读取（请求实体太大或标头太大？），因为它为单个请求解析了两次。有没有办法来解决这个问题 ？

是什么HttpParser{s=-5,l=34,c=0}意思HttpParser{s=-5,l=102,c=0}？

当我停用身份验证时（使用简单码头领域的安全约束）。请求只解析一次。

I am building a small app engine project connected to Android and Iphone devices. I want only the users who has the Google account has to access my http://myuser.appspot.com... Whenever they post something, I want to grab their gmail id and associate with the message that they post using http://myuser.appspot.com... I dont want some one to post junk messages though I perform a validation, but still I want to collect the gmail user id for further reference. I tried adding this web.xml, but it is not forcing me to enter my gmail id before the page shows up,

Thanks, Ramesh

到目前为止，这就是我为保护我的 SOLR 应用程序所做的工作。

在 SOLR 的 web.xml 文件中，我正在尝试执行以下操作

• 仅允许 /select 请求用户或管理员请求。
• 除了管理员之外，不允许对 SOLR 的所有其他请求。

我在 SOLR 的 web.xml 文件中添加了安全约束

这就是我在客户端应用程序中实例化 SOLR HTTP 连接的方式

tomcat-users.xml 文件的角色和用户设置如下

以上工作完美。显然在生产中我会有更强大的用户名和密码。

问题

我还需要其他什么来保护我的 SOLR 实例，或者以上内容就足够了吗？我有 1 个运行客户端应用程序和 SOLR 应用程序的 Tomcat 7 实例。这就是我想要达到的目标。

• 不想让任何人在没有用户名和密码的情况下登录管理员
• 不希望任何人访问我的客户端应用程序以外的核心

我可以在上述基础上向 SOLR 添加 Spring 安全性，但这有必要吗？

在研究 servlet 中的安全约束和过滤器时，我在 web.xml 文件中做了以下声明，但没有按预期工作：

根据我的阅读：过滤器应该在请求到达某个url之前遇到，那么，为什么首先调用安全约束？

我知道从安全角度来看这是有意义的（要到达您必须经过身份验证的过滤器），但我想知道由 request 触发的序列。

容器是否首先搜索受保护的资源，从而触发安全约束？

但这将与 Head First Servlets 和 Jsp 中引用的以下段落相矛盾“

请记住，在 DD 中，这是关于请求之后发生的事情。换句话说，当 Container 开始查看元素以决定如何响应时，客户端已经发出了请求。请求数据已通过网络发送

或者该请求可能同时触发：过滤器和安全约束，但安全约束优于过滤器？

我有一个关于表单的操作

当我按下按钮时它应该执行 LoginAction

在 ActionServet 中，它应该检查 Action 的结果，然后重定向到某个页面。

}

但是HTTP Status 403 - Access to the requested resource has been denied当我尝试按下按钮时，我得到了它。

问题出在哪里？与tomcat用户有关吗？

这是web.xml

遇到一个问题，想根据我的配置文件动态设置security-constraint的标签，但是做不到。所以我希望web.xml中的标签可以动态生成或者写在web.xml之外。非常感谢你的帮助！

我想对部署在 Tomcat7 服务器上的所有 webapps 应用安全约束。为此，我设置了一个领域和阀门。我的理解是，context.xml 的内容包含在部署到服务器的所有应用程序中——这部分似乎可以工作，因为我可以添加各种配置，并且我看到了它包含在各种部署的应用程序上下文中的效果。它非常适合在 Web 应用程序中强制执行一致性。

似乎不起作用的是尝试在 web.xml 之外定义如下安全约束：

我在 Context 标签之间的 context.xml 中执行此操作。没有来自 Tomcat 的投诉，但没有应用安全约束，例如我可以在没有密码的情况下点击应用程序。在 context.xml 中使用上面的约束，我看到：

...在日志中，并且可以在没有身份验证的情况下访问“受保护”资源。

当然，将相同的约束移动到 webapps 的 web.xml 会产生预期的约束行为，但我需要确保在给定服务器上的所有已部署应用程序中一致地应用约束。

安全约束是否需要在网络应用程序内部？如果确实如此，如果不在 context.xml 中，我如何在多个（尚未部署的）Web 应用程序中定义安全约束？

这正是我想要设置的，但我想在 web.xml 之外（上面）强制执行约束。同样，这样它对于整个服务器都是一致的。

我确实看到了另一个类似的问题，但是我试图在 Tomcat 配置中找到一种方法来执行此操作，而不必使用代码库中的 Servlet API（已经编写好了）。

谢谢！

更新：当<auth-constraint>元素被完全删除时，代码可以正常工作。谁能解释为什么它在存在时不起作用？

我正在编写一些代码来练习在部署描述符中保护 servlet，并且在浏览器中得到以下信息：

关于我做错了什么有什么想法吗？我已经对以前的帖子进行了一些搜索，似乎 Tomcat 7 中的角色名称可能已经更新 - 我已经玩过这个，但到目前为止还没有成功。（下面的代码）。

web.xml

CheckedServlet.java