问题标签 [security-constraint]

我是 GWT 的新手。我想为我现有的 web 应用程序添加安全性。这是我的 web.xml 的内容：

没有安全限制，该应用程序可以正常工作。但是，如果它存在于 web.xml 中，当我尝试调用远程服务时，我会收到以下错误 503 服务不可用。

这就是我配置 Jetty 以包含领域的方式：

还有realm.properties，它在类路径中：

这个配置有什么问题吗？我希望在访问索引页面时会显示基本身份验证对话框。

我的 web.xml 中有以下内容

在我的 tomcat-users.xml 文件中也有以下内容：

当我尝试导航到我的本地主机站点时，会出现“需要身份验证”对话框，但即使我输入了正确的凭据，该对话框也会自行刷新并且没有任何反应。

为什么这不起作用？似乎不像 auth-method 建议的那样基本。

我知道已经有其他类似我的疑问的帖子，但问题是我无法解决问题。我有一个必须用名称“passport.jsp”映射的 servlet，因为外部应用程序（不能更改调用）通过 URL http://myipserver:portserver/nameApplication/passport.jsp?xxx 发出请求此时的 web.xml 在这里：

问题是我的安全约束的映射覆盖了servlet passport.jsp 的定义，因为映射的是“*.jsp”。

有谁知道如何解决这个问题？您可以将 servlet“/passport.jsp”添加为例外。

感谢您的关注。

We are using Websphere 8.5.5 Traditional

I have added an extended document root to Websphere's ibm-web-ext.xml file and set file sharing to true.

inside the extended document root folder (C:/extdocroot) is a folder called pdfs. I would like to restrict the pdfs folder to only users who have logged in and have a particular role of 'school'.

the URL to serve up the pdf's is https://domain-name:9080/context-path/pdf/pdf-name.pdf I added a security constraint in the web.xml file

No matter what role a user is logged in as the PDF's will get served by the the server. Websphere is ignoring the security constraint for the URL that serves up PDF's from the extended document root. Is it possible to constrain these PDF's by the roles a logged in user has.

Note: My company has asked me to try and put these files outside of the ear file and also have Websphere secure the files using user's role. I was also instructed not to use the Apache HTTP Server to host these files since it is in the DMZ.

我正在尝试熟悉 TomEE，或者至少熟悉我目前正在使用的旧应用程序中使用的 TomCat 7。

在 tomcat 位置有一个 web.xml。据我了解，这用于所有没有自己的 web.xml 的 servlet，对吗？或者这也将用于那些拥有自己的servlet？

不确定此配置文件的层次结构。

试图让一个模块的基本身份验证工作可以通过像 \localhost:8080\AB 这样的 url 分配的模块 \localhost:8080\manager 的 tomcat-users 工作正常。但无法登录 \localhost:8080\AB

我尝试修改 web.xml，如：

但是仍然不需要登录来访问这个 servlet。

我发现，这个 Java 项目中还有另一个 web.xml，我也尝试使用上面的代码对其进行修改。我知道我做错了什么，但不明白现在是什么。

角色“users”是在 tomcat-users.xml 中创建的，并且还为该组分配了一个用户。

I'm developing an admin page for my webpage. I'm using GAE and security-constraints. I would like to know which role-name are available and how I can define which Google Accounts could access a specific page.

我有一些使用 JAX-RS 在 java 中开发的 RESTful Web 服务。我需要对某些方法启用基本身份验证。我正在使用 apache tomee plume 7.0.2 作为我的应用程序服务器。

我在 web.xml 中使用了 security-constraint 标签来保护方法。Apache 领域配置也设置为 DataSourceRealm。

到这里为止一切都很好。

我需要添加 CORS 标头以使我的 js web ui 使用我的服务。所以我在 web.xml 中添加了 apache CorsFilter。问题是对于需要身份验证的服务，返回 401 响应并且不执行过滤器。所以没有添加 CORS 标头，我的 js 客户端失败了。

有没有办法在安全约束执行后强制执行过滤器？在这种情况下如何添加自定义标题？

我的 web.xml 配置是：

我为 tomcat 7 配置了一个 LDAP 领域。它在用户组中搜索某人，一旦找到，将对他们进行身份验证并允许他们访问应用程序。

这是我的境界：

它找到用户，然后搜索相应的角色名称。这是我在 web.xml 中对角色的安全约束。

但是用户将拥有看起来像CN=Domain Users,CN=Users,DC=mycompany,DC=com. 所以我的问题是，有没有办法可以将该角色映射到用户的角色名称？否则我需要这样定义我的安全约束：

我在web.xml. Role_TestWs可以访问我的服务，但没有授权可以访问我的服务。我只想Role_TestWs能够访问我的服务。

我想对我的客户隐藏我的源代码。因为只购买我的软件的许可证。任何人都想分享隐藏python源代码隐藏的想法。如果有人知道这件事，请帮助我。提前致谢。