問題タブ [security-constraint]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
java - Java web.xml での動的セキュリティ制約の構成
私は現在、BasicAuth を介して認証する必要がある REST API を持っていますが、後で他の方法を使用します。
レルムを使用してTomcat 6でセットアップされており、web.xml
.
これは、 のような URL では問題なく機能します/rest/document/*
。
私の質問は、それが可能かどうか、または構築および再デプロイせずに他の URL を動的に定義する方法を知っている人はいますか?
たとえば、別のセキュリティ制約、
ありがとう
jsf - ウェルカム ファイルはセキュリティ制約を無視します
私のweb.xml :
Web アプリで、許可されていないユーザーをログイン ページにリダイレクトしたい。面白いことに、これは機能していましたが、愚かな変更を加えたので、アクセスすると、localhost:8080
ログインしていなくても常にsecure.xhtmlが表示されます。localhost:8080/secured/secure.xhtml
リダイレクトは正常です。
java - セキュリティ制約を含むリクエストのフィルタリング
セキュリティ制約を使用してリソースへのアクセスをロックダウンする Java Web アプリケーションがあります。Ajax リクエストで認証が必要な場合に HTTP 401 レスポンスを操作しようとしているので、レスポンスの HTTP ステータスを監視し、必要に応じて変更するフィルタを作成しました。
問題は、認証が必要な場合、401 がブラウザーに送信されるまでフィルターが呼び出されないように見えることです。セキュリティ制約は、リクエスト処理チェーンのフィルターより前にあるようです。私のフィルターの url-pattern は、どのセキュリティ制約よりも一般的です。プラットフォームは WebSphere です。
サーブレット 2.5 仕様でセキュリティ制約とフィルターの優先順位が指定されている場所がわかりません。私は何かを逃しましたか?
authorization - web.xml の security-constraint の適切な実践
security-constraint
web.xmlで (とりわけ) を定義することで、Web アプリケーションへのアクセスを制限できます。各 security-constraint は、1)<web-resource-collection>
制限されたリソースのセットを含むものと、2)<auth-constraint>
この制約で定義された web-resource-collection にアクセスできる許可されたユーザー (セキュリティ ロール) のセットを含むもので構成されます。
したがって、各制約で、a) 単一のリソース (アドレス) と許可されたユーザーのセットを定義するか、b) リソースのセット (アドレス) と単一の許可されたユーザーを定義することができると思います。
私は正しいですか?私のアプローチはどうあるべきか。
たとえば、次のような制約を定義しました。
しかし、それが「正しい方法」であるかどうかはわかりません:)
java - Java Web アプリケーションにログインすると、ログイン フォームで使用される CSS に誘導されます。これを修正するにはどうすればよいですか?
私は、さまざまなサーブレットと JSP で構成される Java Web アプリを持っています。例: コントローラー サーブレット/controller?abc=123&xyz=567
、その他のサーブレット/showDocument?docid=55
、および JSP への直接アクセス/userDetails.jsp
.
すべてへのアクセスを防止するために Web セキュリティを有効にし (以下を参照) login.jsp
、css ファイルにリンクするページがあります/styles.css
。
URL にアクセスすると、login.jsp ページにリダイレクトされます。
問題は次のとおりです。
(1) ログイン ページで CSS スタイルが使用されていません。これstyles.css
はおそらく、保護されたリソースと見なされ、まだログインしていないためです。
(2) ユーザー名とパスワードを使用して正常にログインすると、style.css ファイル (ブラウザーにプレーン テキストとして表示されます) に移動します。これは、css ファイルへの LINK が要求された最新の保護されたリソースであると見なされているためだと思います。
CSS コンテンツをコピーして JSP に貼り付けると、両方の問題は解消されますが、CSS は style.css と login.jsp の 2 つの場所にあります。
これを修正するにはどうすればよいですか? *.css ファイルを保護しないように「ホワイト リスト」にする方法はありますか。保護したい特定の型に対して異なるセキュリティ制約を定義する必要がありますか?
私の web.xml からの現在のセキュリティ制約は次のとおりです。
これは、JSP で CSS にリンクする方法です。
どんな助けでも大歓迎です!
ロブ
java - ApacheTomcatセキュリティ
Tomcatの構成がほぼ完了しそうです。
私が抱えている問題は、クライアントアプリケーションとブラウザの両方に関するものです。
ユーザーが自分のブラウザーでTomcatにアクセスするときに、https経由でのみアクセスできるようにして、証明書を使用して認証できるようにします。
クライアントアプリケーションでは、axis2と通信するときに、httpのみを使用したいので、サーバーに過負荷をかけません。証明書を使用するパスワードコールバックでapacherampartを使用しているので、httpsを使用しなくても問題はありません。
さて、これが問題の始まりでした。これが私が何とか仕事に取り掛かったものです:
TomcatでSSLを許可すると、クライアント認証はブラウザの魅力のように機能します。
ただし、サーバーには引き続きアクセスできます
この問題に関する私のserver.xmlは次のとおりです。
8443ポートにリダイレクトするべきではありませんか?
私のクライアントアプリケーションは、8080ポートを介して問題なく通信できます。
だから私は何が間違っているのですか?
maven - ローカルホストのTomcat Realmセキュリティ制約の無効化
アプリの一部のフォルダーを保護するために、セキュリティ制約を追加しました。
適切なユーザー SUPER を tomcat-users に追加しました。アプリをデプロイすると、これはすべて正常に機能しているようです。ただし、tomcat7:run を使用して、exlipse からローカルで実行すると、ローカル セットアップに tomcat-users.xml ファイルがないため、基本的にユーザーをローカルで構成する方法がわかりません。セキュリティは機能しますが、ユーザーが定義されていません。
mavens tomcat plugn のカスタム tomcat-sers.xml ファイルを渡す方法または指定する方法を教えてください。
authentication - localhost を除く web.xml の security-constraint による認証
Java EE サーブレット コンテナ (Tomcat、Glassfish など) の web.xml 内で、特定のリソースへのアクセスを制限するセキュリティ制約を設定できます。
localhost からのアクセスと他のすべてのアクセスを区別することはできますか? localhost からではなく、webapp へのすべての外部呼び出しに対して、glassfish サーバーで認証を有効にしたいと考えています。それは可能ですか?
ssl - すべてのサブロケーションに https 接続を強制する方法は? JAX-RS JBoss
次のセクションでは、すべてのクライアントに https 接続を使用するよう強制する必要があります。
実際には、index.html ページのみが ssl によって保護されます。したがって、次のようなリクエストhttp://localhost/JAX-RS_Service/
がリダイレクトされhttps://localhost/JAX-RS_Service/
、index.html ページが表示されます。同じことですが、http://localhost/JAX-RS_Service/index.html
リクエストしようとするとhttp://localhost/JAX-RS_Service/services/customers/1
、https へのリダイレクトがないため、すべてがプレーンテキストで送信されます。
認証を強制する場合も同様です
のような URL パターン<url-pattern>/services/*</url-pattern>
は機能しません。
がサブロケーションで機能しないのはなぜ<url-pattern>/*</url-pattern>
ですか。これを修正する方法はありますか?