問題タブ [security-constraint]

次の構成が安全かどうか疑問に思っていました。

/ManageXXXX.do、 、 ...の場所でアクセス可能な Webページは、役割/ManageYYYY.doによってのみアクセスできるようにする必要がadminあります。他のすべてのページは誰でも利用できます。

web.xml ファイルを次のように構成しました。

セキュリティを通過しようとしている人々にとって、これがどれほど信頼できるものなのか疑問に思っていました. Manage*これにより、許可されていないユーザーからページがブロックされることが保証されますか? この種のパターン マッチングがどれほど安全かを知りたいだけです。

Java ee を使用して Web アプリケーションを作成しています。私はグラスフィッシュ v4 サーバーを使用していますが、現在、web.xml ファイルでセキュリティ制約を指定してセキュリティを機能させようとしています。

私のアプリケーションは linkUI と呼ばれ、localhost:8080/linkUI/area のリソースにアクセスするにはログインが必要な保護領域を作成したかったので、Web でこれに対するセキュリティ制約を追加しました。 xml。しかし、このアドレスにアクセスしようとすると、デプロイメント記述子で構成したログイン ページにリダイレクトされる代わりに、"HTTP ステータス 404 - 見つかりません" というメッセージが表示されます (リソースはまだ作成されていません)。login.jsp に直接ログインすると、予想されるエラー ページにリダイレクトされるため、デプロイメント記述子が見つかったようです。グラスフィッシュサーバーにユーザーとグループを追加し、ここで指定されているようにデフォルトのプリンシパルからロールへのマッピングを有効にしても、ログインは常に失敗するようですが: http://docs.oracle.com/javaee/6/tutorial/doc/bncbx.html# bncby。

今何をチェックしたらいいのかわからない。助言がありますか？

これは私のweb.xmlです：

jetty が提供する EJB に GET http 要求を送信すると、認証パラメーターが正しい場合でも、401 応答が返されることがよくあります。

桟橋のログを見ると、次のように表示されます。

1 つのリクエストに対して 2 回解析されるため、リクエストが完全に読み取られていないと思われます (リクエスト エンティティが大きすぎるか、ヘッダーが大きすぎますか?)。これを修正する方法はありますか?

HttpParser{s=-5,l=34,c=0}とはどういうHttpParser{s=-5,l=102,c=0}意味ですか?

認証を非アクティブ化するとき (単純な突堤レルムを使用したセキュリティ制約)。リクエストは一度だけ解析されます。

Android および Iphone デバイスに接続された小さなアプリ エンジン プロジェクトを構築しています。Google アカウントを持っているユーザーだけがhttp://myuser.appspot.comにアクセスできるようにしたい ... 何かを投稿するたびに、Gmail ID を取得し、 http:/を使用して投稿したメッセージに関連付けたい/myuser.appspot.com ... 検証を行っても誰かにジャンク メッセージを投稿してほしくありませんが、さらに参照するために gmail ユーザー ID を収集したいと考えています。この web.xml を追加しようとしましたが、ページが表示される前に Gmail ID を入力する必要はありません。

ありがとう、ラメッシュ

サーブレットのセキュリティ制約とフィルターについて調べているときに、web.xml ファイルで次の宣言を行いましたが、期待どおりに機能しませんでした。

私が読んだことによると、リクエストが特定のURLに到達する前にフィルターに遭遇する必要があるため、セキュリティ制約が最初に呼び出されるのはなぜですか?

セキュリティの観点からは理にかなっていることはわかっていますが（フィルターに到達するには認証が必要です）、request によってトリガーされるシーケンスを知りたいです。

コンテナーは最初に保護されたリソースを検索し、セキュリティ制約をトリガーしますか?

しかし、これは Head First Servlets and Jsp から引用された次の段落と矛盾します。

DD では、リクエストの後に何が起こるかが重要であることに注意してください。つまり、コンテナが応答方法を決定するために要素を調べ始めた時点で、クライアントはすでにリクエストを行っています。リクエストデータはすでにネットワーク経由で送信されています

または、リクエストが filter と security-constraint の両方をトリガーするだけで、 security-constraint が filter よりも優先されるのでしょうか?

フォームにアクションがあります

ボタンを押すと LoginAction を実行する必要があります

ActionServet では、Action の結果を確認してから、特定のページにリダイレクトする必要があります。

}

しかし、その代わりにHTTP Status 403 - Access to the requested resource has been denied、ボタンを押そうとすると手に入れました。

問題はどこだ？Tomcatユーザーと何か？

ここはweb.xml

Tomcat7 サーバーにデプロイされたすべての Web アプリケーションにセキュリティ制約を適用したいと考えています。これを行うために、Realm と Valve をセットアップしました。私の理解では、context.xml の内容は、サーバーにデプロイされたすべてのアプリに含まれます。その部分は、あらゆる種類の構成を追加できるため、機能しているように見え、デプロイされたさまざまなアプリ コンテキストに含まれる効果を確認できます。これは、Web アプリ全体で一貫性を確保するのに非常に効果的です。

うまくいかないように見えるのは、以下のようなセキュリティ制約を web.xml の外で定義しようとすることです。

Contextタグの間のcontext.xmlでやっています。Tomcat からの苦情はありませんが、パスワードなしでアプリにアクセスできるなど、セキュリティ上の制約は適用されません。上記のcontext.xmlの制約により、次のことがわかります。

...ログに記録され、認証なしで「保護された」リソースにアクセスできます。

もちろん、同じ制約を webapps の web.xml に移動すると、期待される制約の動作が得られますが、特定のサーバーにデプロイされたすべてのアプリに制約が一貫して適用されるようにする必要があります。

セキュリティ制約は Web アプリ内にある必要がありますか? context.xml にない場合、複数の (まだ展開されている) Web アプリ間でセキュリティ制約を定義するにはどうすればよいですか?

これはまさに私が設定しようとしているものですが、web.xml の外側 (上記) で制約を適用したいと考えています。繰り返しますが、サーバー全体で一貫性が保たれるようにします。

私は別の同様の質問を見ましたが、コードベースからサーブレット API を使用せずに Tomcat 構成でこれを行う方法を見つけようとしています (それは既に書かれています)。

ありがとう！

<auth-constraint>更新:要素が完全に削除されると、コードは正しく機能します。存在するときに機能しない理由を誰かが説明できますか?

デプロイメント記述子でサーブレットを保護する練習をするコードを書いています。ブラウザーで次のように表示されます。

私が間違っていることについて何か考えはありますか？以前の投稿を検索したところ、Tomcat 7 でロール名が更新されたようです。これで遊んでみましたが、今のところ成功していません。(以下のコード)。

web.xml

CheckedServlet.java