Tôi đang cố gắng bảo vệ tài nguyên trong tomcat để chỉ "người dùng hợp lệ" (những người có đăng nhập và mật khẩu hợp lệ trong vương quốc) mới có thể truy cập. Họ không nhất thiết phải thuộc về một nhóm trong vương quốc. Tôi đã thử với nhiều kết hợp của chỉ thị <security-constraint>
mà không thành công. Bất kỳ ý tưởng?Ràng buộc bảo mật Tomcat cho người dùng hợp lệ
6
A
Trả lời
1
Có một số triển khai lĩnh vực trong tomcat - bộ nhớ, cơ sở dữ liệu, JAAS và hơn thế nữa. Cách đơn giản nhất để cấu hình (mặc dù không phải là an toàn nhất) bộ nhớ một, trong đó có chứa một tập tin XML duy nhất, thường dưới conf/tomcat-users.xml:
<tomcat-users>
<user name="tomcat" password="tomcat" roles="tomcat" />
<user name="role1" password="tomcat" roles="role1" />
<user name="both" password="tomcat" roles="tomcat,role1" />
</tomcat-users>
Cấu hình vương quốc là trong bối cảnh, máy chủ hoặc cấu hình động cơ, như thế này:
<Realm className="org.apache.catalina.realm.MemoryRealm"
pathname="conf/tomcat-users.xml" />
sau đó, trong web.xml bạn đặt các định nghĩa sau đây:
<security-constraint>
<web-resource-collection>
<web-resource-name>MRC Customer Care</web-resource-name>
<url-pattern>/protected/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>role1</role-name>
</auth-constraint>
</security-constraint>
<!-- Define the Login Configuration for this Application -->
<login-config>
<auth-method>DIGEST</auth-method>
<realm-name>YOUR REALM NAME</realm-name>
</login-config>
<security-role>
<description>
The role that is required to access the application.
Should be on from the realm (the tomcat-users.xml file).
</description>
<role-name>role1</role-name>
</security-role>
phần web.xml được lấy (với thay đổi nhỏ) từ một trong web của chúng tôi ap ps.
12
Bên cạnh auth-khăn bạn đang thêm đến an ninh-chế:
<auth-constraint>
<role-name>*</role-name>
</auth-constraint>
bạn cần xác định vai trò an ninh trong ứng dụng web:
<security-role>
<role-name>*</role-name>
</security-role>
Các vấn đề liên quan
- 1. Cấu hình ràng buộc bảo mật đối với Tomcat có bắt buộc không?
- 2. Ràng buộc bảo mật trong web.xml cho người dùng được xác thực mà không có vai trò thành viên
- 3. Bảo mật Ngoài Tên người dùng/Mật khẩu?
- 4. Truyền và bảo mật đúng mật khẩu của người dùng cho ứng dụng web
- 5. Buộc người dùng thay đổi mật khẩu đã hết hạn trong bảo mật mùa xuân
- 6. Phiên bảo mật mùa xuân không hợp lệ
- 7. Ràng buộc hộp mật khẩu
- 8. DotNetNuke, Mật khẩu được chỉ định cho tài khoản người dùng “sa” là không hợp lệ
- 9. Lỗi WebMatrix "Mật khẩu được chỉ định cho tài khoản người dùng 'root' không hợp lệ ...."
- 10. git: bắt buộc người dùng và mật khẩu nhắc
- 11. Bảo mật trac từ những người dùng nặc danh?
- 12. Log4j ghi tên người dùng bảo mật mùa xuân
- 13. Node.js + Express.js Mô hình bảo mật quyền người dùng Express23s
- 14. Bảo mật tích hợp SQL bằng tên máy tính thay vì tên người dùng
- 15. chown không hợp lệ nhóm người dùng
- 16. cung cấp tên người dùng và mật khẩu chính xác, nhận được ORA-01017: tên người dùng/mật khẩu không hợp lệ; đăng nhập bị từ chối
- 17. lập mưu Quên mật khẩu cho người dùng đăng nhập
- 18. Nginx "không hợp lệ số đối số trong" try_files "chỉ thị ..." cho bảo mật PHP
- 19. Bảo mật khai báo Java EE, Không thể tải nhóm cho người dùng lĩnh vực JDBC
- 20. Làm cách nào để hiển thị bảo mật và quản lý người dùng được tích hợp cho ứng dụng MVC?
- 21. Tomcat có tạo chuỗi cho mỗi người dùng không?
- 22. Bảo mật Spring/JSF/Hibernate Confidental Session Hijacking trên Tomcat?
- 23. AOP và áp dụng bảo mật cho các thành phần giao diện người dùng
- 24. Truy cập 2010 cho phép nhiều người dùng/Thực hiện bảo mật nhóm
- 25. Bảo mật mùa xuân 3- Cách tùy chỉnh thông số tên người dùng/mật khẩu?
- 26. Truy xuất mật khẩu của người dùng hiện tại từ bảo mật mùa xuân
- 27. Tomcat 7 tomcat-người dùng-script quản lý ví dụ cho/triển khai
- 28. Gửi tên người dùng và mật khẩu cho svcutil.exe?
- 29. Bảo mật của Tomcat so với WebSphere so với WebLogic
- 30. vi phạm ràng buộc toàn vẹn khi xóa đối tượng người dùng sử dụng các lớp lõi bảo mật mùa xuân
Trong môi trường cụ thể của tôi Tôi kết nối với một ldap bằng cách sử dụng JNDIRealm. Vấn đề là tôi không thể bao gồm các nhóm trong ldap và phải xác thực dựa trên tên người dùng và mật khẩu mà không có bất kỳ vai trò nào. Tôi đã thử sử dụng ' ' và ' * ' mà không thành công. –
rmarimon