作为一项安全措施,我的组织要求我验证标头属性以允许请求通过业务规则。我需要在Jboss eap 6.3中将其配置在哪里?这个配置在我之前完成,我不确定它是如何在之前的jboss 5.x中实现的。请告诉我如何在不进行任何应用程序更改的情况下配置容器安全性。
答案 0 :(得分:1)
您可以在Global Valve中执行此操作,它类似于servlet过滤器,但具有对JBossWeb(Tomcat)内部的更多访问权限,并适用于所有请求。详细信息位于https://access.redhat.com/documentation/en-US/JBoss_Enterprise_Application_Platform/6.4/html/Administration_and_Configuration_Guide/chap-Global_Valves.html
的文档中容器之间不可移植,因为Web容器已从JBossWeb更改为Undertow,因此无法在WildFly或EAP 7+中运行。
答案 1 :(得分:0)
据我了解,这必须在应用程序中完成。不确定这是否可以在JBoss配置中完成。
试试这个https://www.owasp.org/index.php/How_to_add_validation_logic_to_HttpServletRequest
答案 2 :(得分:0)
原来我们有不同的处理方式。我们使用了Jboss 5的单点登录功能,并在容器级别验证了标头。验证标头后,会公开一个通用角色名称,应用程序将其用于将资源限制为特定角色名称。