Java Web.xml安全约束不起作用
正在尝试启动并运行我的web应用程序的安全方面 我已经在eclipse中创建了一个动态web应用程序,并尝试使用基于表单的身份验证设置Java Web.xml安全约束不起作用,java,jakarta-ee,web.xml,Java,Jakarta Ee,Web.xml,正在尝试启动并运行我的web应用程序的安全方面 我已经在eclipse中创建了一个动态web应用程序,并尝试使用基于表单的身份验证设置 <?xml version="1.0" encoding="UTF-8"?> <web-app id="WebApp_ID" version="3.0" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance
<?xml version="1.0" encoding="UTF-8"?>
<web-app id="WebApp_ID" version="3.0"
xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd">
<display-name>Application</display-name>
<context-param>
<param-name>javax.ws.rs.Application</param-name>
<param-value>com.foo.bar.webservices.MyApplication</param-value>
</context-param>
<context-param>
<param-name>resteasy.servlet.mapping.prefix</param-name>
<param-value>/resteasy</param-value>
</context-param>
<listener>
<listener-class>org.jboss.resteasy.plugins.server.servlet.ResteasyBootstrap</listener-class>
</listener>
<servlet>
<servlet-name>Resteasy</servlet-name>
<servlet-class>org.jboss.resteasy.plugins.server.servlet.HttpServletDispatcher</servlet-class>
</servlet>
<servlet>
<display-name>LoginServlet</display-name>
<servlet-name>LoginServlet</servlet-name>
<servlet-class>httpAuth.LoginServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>Resteasy</servlet-name>
<url-pattern>/resteasy/*</url-pattern>
</servlet-mapping>
<servlet-mapping>
<servlet-name>LoginServlet</servlet-name>
<url-pattern>/LoginServlet</url-pattern>
</servlet-mapping>
<welcome-file-list>
<welcome-file>/login.jsp</welcome-file>
</welcome-file-list>
<security-constraint>
<display-name>Authorized Only</display-name>
<web-resource-collection>
<web-resource-name>Authorized Only</web-resource-name>
<url-pattern>/restricted/*</url-pattern>
<http-method>GET</http-method>
<http-method>PUT</http-method>
</web-resource-collection>
<auth-constraint>
<description>Allowed users</description>
<role-name>USER</role-name>
</auth-constraint>
<user-data-constraint>
<transport-guarantee>NONE</transport-guarantee>
</user-data-constraint>
</security-constraint>
<login-config>
<auth-method>FORM</auth-method>
<form-login-config>
<form-login-page>/login.jsp</form-login-page>
<form-error-page>/logonError.jsp</form-error-page>
</form-login-config>
</login-config>
<security-role>
<role-name>USER</role-name>
</security-role>
</web-app>
在我们的组织中,我们使用安全注释。根据我的经验,它的设置和实现相当简单和直接。我们碰巧将IBMWebSphere用于我们的应用程序服务器,但是安全注释可以在任何支持JavaEE5的服务器中使用 Oracle在这方面有一篇很好的文章:
在web上搜索“Java安全注释”以获取更多信息。您似乎应用了错误的url模式。试着改变这个
<url-pattern>/Application/restricted/*</url-pattern>
/Application/restricted/*
由此
<url-pattern>/restricted/*</url-pattern>
/restricted/*
对于servlet映射,您正在使用以下模式:
<url-pattern>/resteasy/*</url-pattern>
<url-pattern>/Application/restricted/*</url-pattern>
/resteasy/*
但对于安全约束,您使用的是以下模式:
<url-pattern>/resteasy/*</url-pattern>
<url-pattern>/Application/restricted/*</url-pattern>
/Application/restricted/*
这些必须匹配
我只能假设此web应用程序不是从根上下文运行的,而是从
/Application
根运行的。web.xml中的模式锚定在上下文中,因此您应该从url模式中删除/Application
前缀如果您通过浏览器测试访问权限,那么如果您以前在该浏览器中登录过Google,则
可能看起来不起作用。登录可以是持久性的,并且可能会被拾取。在不同的浏览器中检查URL是值得的-您可能会发现安全性随后会起作用。正确。jsp页面在下,然后我在@PSU_Kardi中有我的受限信息。/Application
是您的上下文名称吗?另外,顺便说一句,您不能在localhost:8080/Application/login.jsp
下设置index.jsp
。当我转到/restricted时,进行更改会弹出登录表单;但是,它不适用于以下文件:restricted/index.jsp