我们在独立版本(嵌入式tomcat)中运行Jira 5.x.我们希望阻止没有有效http基本标头的任何请求到达Jira应用程序。或者,换句话说,强制JIRA使用HTTP基本身份验证。是的,我知道在没有tls的情况下通过线路传输http基本凭证并不安全,但是我们还没有SSL证书,所以这没关系(它不会比它实际上更糟糕) )。
我读到Jira处理HTTP基本身份验证标头如果得到它们,并且将?os_authType=basic附加到URL会使Jira按照我们的意愿行事,但我们希望Jira强制执行HTTP Basic。我们不关心我们是否在tomcat中静态配置某种“even-before-jira”登录,只要没有它就无法从外部访问jira应用程序。
有没有办法实现这个目标?
我尝试添加:
<login-config>
<auth-method>BASIC</auth-method>
</login-config>
到jira的web.xml但是没有帮助。