一尘不染

web.xml中的多个安全约束不起作用

tomcat

我正在升级一个Web应用程序(Servlet 3.0 / Tomcat
7),该应用程序的大多数页面都需要基本身份验证。该应用程序具有一小组监视servlet,其中任何一个都不应该受到保护。在我的中web.xml,我目前有以下代码security- constraint块(私人信息已替换为字母):

<security-constraint>
    <display-name>Security Constraint</display-name>
    <web-resource-collection>
        <web-resource-name>Protected Area</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <role-name>CN=A,OU=B,OU=C,OU=D,DC=E,DC=F</role-name>
    </auth-constraint>
</security-constraint>

<security-constraint>
    <web-resource-collection>
        <web-resource-name>Unprotected Pages</web-resource-name>
        <url-pattern>/health/*</url-pattern>
    </web-resource-collection>
</security-constraint>

在“健康”路径中,有三个端点:

  • /health/monitor/status
  • /health/monitor/version
  • /health/monitor/version/xml

当我访问任何一个version端点时,都不会提示我输入凭据(如预期)。但是,当我访问该status页面时,浏览器会向我显示一个基本的身份验证框。当我点击“取消”时,可以正常加载页面。同样,如果我已经登录,则在登录到期之前,状态屏幕不会再次提示我。

我意识到,可以通过不将安全内容部署到来解决此问题/*,但是移动它来更改硬编码的路径和测试(这是一个非常老的应用程序)将需要大量工作…而且我还有5到6个做。我愿意在必要时进行此操作,但是我想找出在_不_ 更改任何安全内容路径的情况 是否可行。我 确实 对监视servlet的路径拥有完全的自由。

这似乎与Tomcat 7有关-多个安全性约束不起作用,但不是完全故障,而只是我的一个端点发生了故障,我发现这很奇怪。我已经花了一些时间搜索,看起来我正在做的事情应该可以工作……但事实并非如此。

我正在使用web-app3.0版,并部署到Tomcat7(已尝试使用7.0.42版和7.0.47版)。我已经尝试过更改security-constraint块的顺序。

有什么想法吗?

这是我的完整web.xml参考(请注意,监视servlet是通过Java注释管理的,因此不存在):

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="3.0"
     xmlns="http://java.sun.com/xml/ns/javaee"
     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
     xsi:schemaLocation="http://java.sun.com/xml/ns/javaee
     http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd">

<display-name>TPS</display-name>

<servlet>
    <servlet-name>CFMLServlet</servlet-name>
    <servlet-class>railo.loader.servlet.CFMLServlet</servlet-class>
    <init-param>
      <param-name>configuration</param-name>
      <param-value>/WEB-INF/railo/</param-value>
    </init-param>
    <load-on-startup>1</load-on-startup>
</servlet>

<servlet>
    <servlet-name>AMFServlet</servlet-name>
    <servlet-class>railo.loader.servlet.AMFServlet</servlet-class>
    <load-on-startup>1</load-on-startup>
</servlet>

<servlet>
    <servlet-name>AttachmentServlet</servlet-name>
    <servlet-class>com.package.toolshed.AttachmentServlet</servlet-class>
    <init-param>
        <param-name>configFilePath</param-name>
        <param-value>com/package/toolshed/configuration/tps-config.xml</param-value>
    </init-param>
    <init-param>
        <param-name>configPathParam</param-name>
        <param-value>attachment.servlet.pathPrefix</param-value>
    </init-param>
    <load-on-startup>6</load-on-startup>
</servlet>


<servlet-mapping>
    <servlet-name>CFMLServlet</servlet-name>
    <url-pattern>*.cfm</url-pattern>
</servlet-mapping>
<servlet-mapping>
    <servlet-name>CFMLServlet</servlet-name>
    <url-pattern>*.cfml</url-pattern>
</servlet-mapping>
<servlet-mapping>
    <servlet-name>CFMLServlet</servlet-name>
    <url-pattern>*.cfc</url-pattern>
</servlet-mapping>
<servlet-mapping>
    <servlet-name>AMFServlet</servlet-name>
    <url-pattern>/flashservices/gateway/*</url-pattern>
</servlet-mapping>
<servlet-mapping>
    <servlet-name>AttachmentServlet</servlet-name>
    <url-pattern>/attachments/*</url-pattern>
</servlet-mapping>
<servlet-mapping>
    <servlet-name>default</servlet-name>
    <url-pattern>/</url-pattern>
</servlet-mapping>

<welcome-file-list>
    <welcome-file>index.cfm</welcome-file>
    <welcome-file>index.cfml</welcome-file>
</welcome-file-list>

<security-constraint>
    <display-name>Security Constraint</display-name>
    <web-resource-collection>
        <web-resource-name>Protected Area</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <role-name>CN=A,OU=B,OU=C,OU=D,DC=E,DC=F</role-name>
    </auth-constraint>
</security-constraint>

<security-constraint>
    <web-resource-collection>
        <web-resource-name>Unprotected Pages</web-resource-name>
        <url-pattern>/health/*</url-pattern>
    </web-resource-collection>
</security-constraint>

<login-config>
    <auth-method>BASIC</auth-method>
    <realm-name>TPS</realm-name>
</login-config>

<security-role>
    <role-name>CN=A,OU=B,OU=C,OU=D,DC=E,DC=F</role-name>
</security-role>
</web-app>

阅读 320

收藏
2020-06-16

共1个答案

一尘不染

想通了。

事实证明状态servlet正在加载CSS文档,并且该加载正在触发auth。令我感到困惑的是,状态和版本加载JSP都不需要,而且在安全性约束中不需要考虑这些JSP(我最初采取的步骤之一就是添加*.jsp到我的安全性约束中)。JSP与CSS存在于同一路径。

可以正常使用的新web.xml

<security-constraint>
    <web-resource-collection>
        <web-resource-name>Unprotected Pages</web-resource-name>
        <url-pattern>/health/*</url-pattern>
        <url-pattern>/monitoringCommon.css</url-pattern>
    </web-resource-collection>
</security-constraint>
2020-06-16