我想将websphere liberty配置文件配置为仅通过https提供页面。特别是,对http的请求应该被阻止,或者重定向到https。
我在web.xml中设置了<security-constraint>,如下所示:
<security-constraint>
<display-name>UserConstraint</display-name>
<web-resource-collection>
<web-resource-name>UserCollection</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>GET</http-method>
<http-method>PUT</http-method>
<http-method>HEAD</http-method>
<http-method>TRACE</http-method>
<http-method>POST</http-method>
<http-method>DELETE</http-method>
<http-method>OPTIONS</http-method>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
我还添加了[ssl-1.0]功能和默认密钥库。这会导致HTTPS正常工作,但所有页面仍然可以通过HTTP访问(它不会重定向或阻止)。
接下来,我添加了功能[appSecurity-2.0],这会导致HTTP正确地重定向到HTTPS。但是,我在控制台中看到以下错误:
[ERROR ] CWWKS3005E: A configuration exception has occurred. No UserRegistry implementation service is available. Ensure that you have a user registry configured.
如上所述,我没有在server.xml中设置用户注册表,因为身份验证是在应用程序本身中完成的。如何在不更改应用程序以使用用户注册表的情况下解决此错误应该怎么做?
另外,web.xml中是否还需要其他配置来防止通过HTTP访问?我原以为<security-constraint>就足够了吗?
编辑:我正在发送一个用于进行身份验证的Basic Auth标头,以防它不清楚。
答案 0 :(得分:4)
最简单的方法是禁用server.xml中的http端口:
<httpEndpoint id="defaultHttpEndpoint" httpPort="-1"/>
答案 1 :(得分:2)
将<basicRegistry></basicRegistry>添加到server.xml。由于您的security-constraint未定义任何auth-constraint,因此您的应用程序不会使用它。
关于你的其他评论:
这可能是服务器尝试解释您的基本身份验证标头而未在注册表中找到用户的结果。
但是,如果您仍在使用基本身份验证,您可以通过保护您的Web模块而不是使用Basic注册表来允许服务器创建该请求,从而实现您的自定义注册表作为Liberty功能,请参阅Developing a custom user registry for the Liberty profile
答案 2 :(得分:0)
在你的web.xml中添加:
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
这将重定向到https。