如何绕过JavaEE安全角色_Java_Jakarta Ee_Security

如何绕过JavaEE安全角色

java jakarta-ee security

如何绕过JavaEE安全角色,java,jakarta-ee,security,Java,Jakarta Ee,Security,下面是my web.xml中的示例代码 <security-constraint> <display-name> change password</display-name> <web-resource-collection> <web-resource-name>change password</web-resource-name> <url-pattern&g

下面是my web.xml中的示例代码

<security-constraint>
    <display-name>
    change password</display-name>
    <web-resource-collection>
        <web-resource-name>change password</web-resource-name>
        <url-pattern>/ResetPassword.html</url-pattern>
        <http-method>GET</http-method>
        <http-method>POST</http-method>
    </web-resource-collection>
    <auth-constraint>
        <description>Roles which can access landing page</description>
        <role-name>Admin</role-name>
    </auth-constraint>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>


更改密码
更改密码
/ResetPassword.html
得到
邮递
无法绕过Java EE安全性。
否则，它将像巧克力茶壶一样有用。Java EE安全性不能被忽略。
否则，它会像巧克力茶壶一样有用。
不确定web.xml，但至少在EJB上有安全注释，如果我没记错的话，您可以将每个服务配置为可访问：

任何用户
任何经过身份验证的用户
按特定角色
不确定web.xml，但至少在EJB上有安全注释，如果我没记错的话，您可以将每个服务配置为可访问：

任何用户
任何经过身份验证的用户
按特定角色
将应用程序部署到应用程序服务器。
转到应用程序服务器的管理，并将您的DefUser分配给角色Admin。
如果您有其他角色，请将您的DefUser也分配给这些角色
好了。无需绕过。将应用程序部署到应用程序服务器。
转到应用程序服务器的管理，并将您的DefUser分配给角色Admin。
如果您有其他角色，请将您的DefUser也分配给这些角色
好了。无需旁路