我正在升级一个Web应用程序(Servlet 3.0 / Tomcat 7),该应用程序的大多数页面都需要基本身份验证。该应用程序具有一小组监视servlet,其中任何一个都不应该受到保护。在我的中web.xml,我目前有以下代码security- constraint块(私人信息已替换为字母):
web.xml
security- constraint
<security-constraint> <display-name>Security Constraint</display-name> <web-resource-collection> <web-resource-name>Protected Area</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <auth-constraint> <role-name>CN=A,OU=B,OU=C,OU=D,DC=E,DC=F</role-name> </auth-constraint> </security-constraint> <security-constraint> <web-resource-collection> <web-resource-name>Unprotected Pages</web-resource-name> <url-pattern>/health/*</url-pattern> </web-resource-collection> </security-constraint>
在“健康”路径中,有三个端点:
/health/monitor/status
/health/monitor/version
/health/monitor/version/xml
当我访问任何一个version端点时,都不会提示我输入凭据(如预期)。但是,当我访问该status页面时,浏览器会向我显示一个基本的身份验证框。当我点击“取消”时,可以正常加载页面。同样,如果我已经登录,则在登录到期之前,状态屏幕不会再次提示我。
version
status
我意识到,可以通过不将安全内容部署到来解决此问题/*,但是移动它来更改硬编码的路径和测试(这是一个非常老的应用程序)将需要大量工作…而且我还有5到6个做。我愿意在必要时进行此操作,但是我想找出在_不_ 更改任何安全内容路径的情况 下 是否可行。我 确实 对监视servlet的路径拥有完全的自由。
/*
这似乎与Tomcat 7有关-多个安全性约束不起作用,但不是完全故障,而只是我的一个端点发生了故障,我发现这很奇怪。我已经花了一些时间搜索,看起来我正在做的事情应该可以工作……但事实并非如此。
我正在使用web-app3.0版,并部署到Tomcat7(已尝试使用7.0.42版和7.0.47版)。我已经尝试过更改security-constraint块的顺序。
web-app
security-constraint
有什么想法吗?
这是我的完整web.xml参考(请注意,监视servlet是通过Java注释管理的,因此不存在):
<?xml version="1.0" encoding="UTF-8"?> <web-app version="3.0" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"> <display-name>TPS</display-name> <servlet> <servlet-name>CFMLServlet</servlet-name> <servlet-class>railo.loader.servlet.CFMLServlet</servlet-class> <init-param> <param-name>configuration</param-name> <param-value>/WEB-INF/railo/</param-value> </init-param> <load-on-startup>1</load-on-startup> </servlet> <servlet> <servlet-name>AMFServlet</servlet-name> <servlet-class>railo.loader.servlet.AMFServlet</servlet-class> <load-on-startup>1</load-on-startup> </servlet> <servlet> <servlet-name>AttachmentServlet</servlet-name> <servlet-class>com.package.toolshed.AttachmentServlet</servlet-class> <init-param> <param-name>configFilePath</param-name> <param-value>com/package/toolshed/configuration/tps-config.xml</param-value> </init-param> <init-param> <param-name>configPathParam</param-name> <param-value>attachment.servlet.pathPrefix</param-value> </init-param> <load-on-startup>6</load-on-startup> </servlet> <servlet-mapping> <servlet-name>CFMLServlet</servlet-name> <url-pattern>*.cfm</url-pattern> </servlet-mapping> <servlet-mapping> <servlet-name>CFMLServlet</servlet-name> <url-pattern>*.cfml</url-pattern> </servlet-mapping> <servlet-mapping> <servlet-name>CFMLServlet</servlet-name> <url-pattern>*.cfc</url-pattern> </servlet-mapping> <servlet-mapping> <servlet-name>AMFServlet</servlet-name> <url-pattern>/flashservices/gateway/*</url-pattern> </servlet-mapping> <servlet-mapping> <servlet-name>AttachmentServlet</servlet-name> <url-pattern>/attachments/*</url-pattern> </servlet-mapping> <servlet-mapping> <servlet-name>default</servlet-name> <url-pattern>/</url-pattern> </servlet-mapping> <welcome-file-list> <welcome-file>index.cfm</welcome-file> <welcome-file>index.cfml</welcome-file> </welcome-file-list> <security-constraint> <display-name>Security Constraint</display-name> <web-resource-collection> <web-resource-name>Protected Area</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <auth-constraint> <role-name>CN=A,OU=B,OU=C,OU=D,DC=E,DC=F</role-name> </auth-constraint> </security-constraint> <security-constraint> <web-resource-collection> <web-resource-name>Unprotected Pages</web-resource-name> <url-pattern>/health/*</url-pattern> </web-resource-collection> </security-constraint> <login-config> <auth-method>BASIC</auth-method> <realm-name>TPS</realm-name> </login-config> <security-role> <role-name>CN=A,OU=B,OU=C,OU=D,DC=E,DC=F</role-name> </security-role> </web-app>
想通了。
事实证明状态servlet正在加载CSS文档,并且该加载正在触发auth。令我感到困惑的是,状态和版本加载JSP都不需要,而且在安全性约束中不需要考虑这些JSP(我最初采取的步骤之一就是添加*.jsp到我的安全性约束中)。JSP与CSS存在于同一路径。
*.jsp
可以正常使用的新web.xml
<security-constraint> <web-resource-collection> <web-resource-name>Unprotected Pages</web-resource-name> <url-pattern>/health/*</url-pattern> <url-pattern>/monitoringCommon.css</url-pattern> </web-resource-collection> </security-constraint>
