我正在升级一个Web应用程序(Servlet 3.0 / Tomcat 7),它需要在大多数页面上进行基本身份验证。该应用程序有一小组监视servlet,其中没有一个应该受到保护。在我的web.xml中,我目前有以下security-constraint块(私人信息被字母表中的字母替换):
<security-constraint>
<display-name>Security Constraint</display-name>
<web-resource-collection>
<web-resource-name>Protected Area</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>CN=A,OU=B,OU=C,OU=D,DC=E,DC=F</role-name>
</auth-constraint>
</security-constraint>
<security-constraint>
<web-resource-collection>
<web-resource-name>Unprotected Pages</web-resource-name>
<url-pattern>/health/*</url-pattern>
</web-resource-collection>
</security-constraint>
在“健康”路径中有三个端点:
/health/monitor/status /health/monitor/version /health/monitor/version/xml 当我访问任一version个端点时,系统不会提示我输入凭据(如预期的那样)。但是,当我访问status页面时,浏览器会向我显示一个基本身份验证框。当我点击“取消”时,我被允许正常加载页面。同样,如果我已经登录,状态屏幕将不会再次提示我,直到我的登录过期。
我意识到这可以通过不将安全内容部署到/*来解决,但移动它将需要很多工作来改变硬编码路径和测试(这是一个非常古老的应用程序)......我还有5到6个要做。如果有必要,我愿意这样做,但我想知道这是否可能没有更改任何安全内容路径。我做对监控servlet的路径有完全的自由。
这似乎与Tomcat 7 - Multiple security-constraints not working有关,但是完全失败只是我的一个端点失败了,我觉得很奇怪。我花了一些时间进行搜索,看起来我正在做的事应该起作用......但事实并非如此。
我正在使用web-app 3.0版,部署到Tomcat 7(尝试过版本7.0.42和7.0.47)。我已经尝试更改security-constraint块的顺序。
思考?
这是我的完整web.xml以供参考(请注意监视servlet是通过Java注释管理的,所以不存在):
<?xml version="1.0" encoding="UTF-8"?>
<web-app version="3.0"
xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee
http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd">
<display-name>TPS</display-name>
<servlet>
<servlet-name>CFMLServlet</servlet-name>
<servlet-class>railo.loader.servlet.CFMLServlet</servlet-class>
<init-param>
<param-name>configuration</param-name>
<param-value>/WEB-INF/railo/</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
<servlet>
<servlet-name>AMFServlet</servlet-name>
<servlet-class>railo.loader.servlet.AMFServlet</servlet-class>
<load-on-startup>1</load-on-startup>
</servlet>
<servlet>
<servlet-name>AttachmentServlet</servlet-name>
<servlet-class>com.package.toolshed.AttachmentServlet</servlet-class>
<init-param>
<param-name>configFilePath</param-name>
<param-value>com/package/toolshed/configuration/tps-config.xml</param-value>
</init-param>
<init-param>
<param-name>configPathParam</param-name>
<param-value>attachment.servlet.pathPrefix</param-value>
</init-param>
<load-on-startup>6</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>CFMLServlet</servlet-name>
<url-pattern>*.cfm</url-pattern>
</servlet-mapping>
<servlet-mapping>
<servlet-name>CFMLServlet</servlet-name>
<url-pattern>*.cfml</url-pattern>
</servlet-mapping>
<servlet-mapping>
<servlet-name>CFMLServlet</servlet-name>
<url-pattern>*.cfc</url-pattern>
</servlet-mapping>
<servlet-mapping>
<servlet-name>AMFServlet</servlet-name>
<url-pattern>/flashservices/gateway/*</url-pattern>
</servlet-mapping>
<servlet-mapping>
<servlet-name>AttachmentServlet</servlet-name>
<url-pattern>/attachments/*</url-pattern>
</servlet-mapping>
<servlet-mapping>
<servlet-name>default</servlet-name>
<url-pattern>/</url-pattern>
</servlet-mapping>
<welcome-file-list>
<welcome-file>index.cfm</welcome-file>
<welcome-file>index.cfml</welcome-file>
</welcome-file-list>
<security-constraint>
<display-name>Security Constraint</display-name>
<web-resource-collection>
<web-resource-name>Protected Area</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>CN=A,OU=B,OU=C,OU=D,DC=E,DC=F</role-name>
</auth-constraint>
</security-constraint>
<security-constraint>
<web-resource-collection>
<web-resource-name>Unprotected Pages</web-resource-name>
<url-pattern>/health/*</url-pattern>
</web-resource-collection>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>TPS</realm-name>
</login-config>
<security-role>
<role-name>CN=A,OU=B,OU=C,OU=D,DC=E,DC=F</role-name>
</security-role>
</web-app>
答案 0 :(得分:5)
想出来了。
事实证明,状态servlet正在加载CSS文档,并且该加载正在触发auth。令我困惑的是状态和版本加载JSP,并且不需要在安全约束中考虑这些JSP(我最初采取的步骤之一是将*.jsp添加到我的安全约束中)。 JSP存在于与CSS相同的路径中。
新的,有效的web.xml
<security-constraint>
<web-resource-collection>
<web-resource-name>Unprotected Pages</web-resource-name>
<url-pattern>/health/*</url-pattern>
<url-pattern>/monitoringCommon.css</url-pattern>
</web-resource-collection>
</security-constraint>