问题标签 [security-constraint]

我正在开发的 Web 应用程序由一些 servlet 和 JAX-RS Web 服务组成。到目前为止，我一直在使用 ContainerRequestFilter 来验证 REST 方法调用，但现在我还需要保护 servlet，因此我决定使用 web.xml 来定义安全约束。我的 web.xml 看起来像这样：

如果我正确理解 web.xml 的语法，我定义的意思是就 LoginModules 而言，对 /rest/* （我所有的 JAX-RS 方法所在的地方）的访问是不受限制的，并且对 /protected 的所有访问/* 路径（我保存安全 servlet 的地方）需要基本授权。

当我尝试打开其中一个安全 servlet（例如 /protected/test）时，我在浏览器中看到了基本的身份验证登录对话框，并且行为是正确的 - 如果我输入“管理员”用户的凭据，则允许我访问。否则，我会收到一条“禁止”消息。

此外，当我尝试访问 /rest/ 路径上的任何内容时，我没有得到基本的身份验证对话框，这是我所期望的。但是，我在 ContainerRequestFilter 中获得的 Authorization 标头不是我在 REST 请求中发送的标头，而是我之前用于进入 /protected/ servlet 的标头。

以下是拼图的其他部分：

Standalone.xml（安全域部分）

jboss-web.xml

PaloLoginModule.java

安全拦截器.java

我正在使用 RESTClient for Firefox 将 REST 请求发送到 JAX-RS 方法。由于我正在记录所有标题，因此我可以清楚地看到过滤器的内容，并且该值在调用之间不会改变，即使我在 RESTClient 中更改它也是如此。更重要的是，即使我不使用 RESTClient 中的 Authorization 标头，该值仍然存在。

我的问题是为什么 Authorization 标头被阻止并且没有转发到我的过滤器？如果我删除 web.xml 文件，我会在 ContainerRequestFilter 中获得正确的 Authorization 标头。有没有办法将应用程序的 /rest 部分移动到不受 web.xml 中登录配置影响的区域？

任何帮助是极大的赞赏！

它是运行在 JBoss 上的应用程序的 web.xml 的一部分

如您所见，管理员可以访问所有内容，而用户应该只能访问用户手册文件“User Manual.pdf”。但它不起作用，只有管理员有权访问。

这可以通过将文件重命名为“User_Manual.pdf”并更改<url-pattern>为“/User_Manual.pdf”来解决

我的问题是可以以某种方式解决此问题以在文件名中使用空格吗？

我正在尝试为我的 Web 应用程序编写一个基于 Web 的设置（主要是设置数据库）。但是因为我对所有 Servlet 都使用 DIGEST 身份验证，所以我在那里遇到了问题。我希望能够要求用户输入他的 mysql 密码，但他不能，因为他无法登录。由于用户保存在数据库中，此时不存在，因此无法登录。

我可以覆盖单个 Servlet 的登录配置，这样用户就不必输入密码了吗？

我正在尝试使用 web.xml 安全约束元素阻止未使用的 http 方法（OPTIONS、TRACE、DELETE）。但它阻止了所有现有资源并抛出 302 响应。

我的 web.xml 如下所示。

这会阻止所有 GET 请求。最初我尝试添加 GET、PUT、POST 只是为了接受请求，后来尝试了几乎所有方式。

仅供参考，这里没有使用任何角色和身份验证。

我一直在尝试在我的项目中进行身份验证，但似乎Tomcat 的安全约束中的url 模式要么只接受 '/*' 或任何其他根级别模式 - 意思是 - 我可以使用“保护”所有页面

但如果我尝试类似

它甚至没有注册让所有页面“打开”

这同样适用于锁定所有页面并添加另一个更具体的安全约束，而没有公用文件夹的 auth-constraint

无法识别模式并且不会“解锁”文件夹

提前致谢！

这是整个 XML 文件，因为它没有锁定任何内容（尽管我想要它！）：

我有一个在 Tomcat 上运行的 Java Web 应用程序，并且正在尝试执行 302 重定向。

问题是：原始请求 URL 使用 HTTPS。我希望重定向 URL 改为使用 HTTP：

出于某种原因，在使用 Wireshark 检查重定向包后，“Location”标头改为“ https://www.google.com ”。

是否有任何配置可以更改，以便 Tomcat 尊重我在标头中设置的协议？

我正在使用 struts 1.2 并使用 global-forwards 来访问我的 jsp 文件，并且即使在将 /pages/* 放入安全约束之后，我也将安全约束放在了我的 web.xml 文件中，我可以控制通过 url http:/直接访问我的 jsp /localhost:8080/mywebsite/pages/home.jsp但是每当有人将鼠标指向我的菜单项时，他都能看到像 http://localhost:8080/mywebsite/home.do这样的 URL，我在 iframe 中显示，所以什么也没有可以通过点击上面的 url 来停止对 home.jsp 的直接访问，并且能够看到我只想在我的 index.jsp 的 iframe 中显示的 home.jsp 下面是我正在使用的安全约束，我也不会使用这样的约束 <url-pattern>*.do</url-pattern>甚至会停止也在 iframe 中显示 home.jsp。

这是我的 struts-config.xml 中的配置

有什么区别：

和：

在安全约束声明中？

例如，如果我如下定义 BASIC 身份验证，我应该使用哪个？

我已经在 weblogic 服务器上配置了 ADFS SAML，并在 web.xml 中添加了相应的条目。我想通过 ADFS SAML 从授权中排除一个 url，所以我在 web.xml 中添加了没有 auth-constraint 的安全约束。所以现在我期望 /Sample/ 的 url 应该被排除，但它仍然是授权 /Sample/ 请求请在下面找到 web.xml 受限 /Sample/*

我正在使用 rest web-service 来获取文件路径。这里我使用安全上下文来提供一些额外的安全性。我使用了关于登录用户的验证必须与 Web 服务 URL（安全检查）中指定的用户名相同。

但我有一种特殊情况，我有一个用户用于从服务器获取特殊文件路径。如果我从 web 服务 URL 传递这个用户，它会被安全上下文验证捕获，因为登录用户和 URL 指定的用户不同。

因此，还有其他方法可以将特殊用户排除在安全检查之外。我可以在 web.xml 中指定一些配置来解决这个问题吗？

例如

和

我想让它在没有的情况下通过，当来自 URL 的用户是 abc 时，然后允许它进行安全检查。

这是用于检查有效用户的网络服务代码