java中使用ssl和基于表单的验证策略出错

最新推荐文章于 2021-02-28 08:01:06 发布
最新推荐文章于 2021-02-28 08:01:06 发布
阅读量1.4k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiu512300471/article/details/15337879
版权

java中使用ssl和基于表单的验证策略出错  

我在使用ssl和基于表单的验证策略时出现,出现如下的异常:

HTTP Status 400 - Invalid direct reference to form login page

type Status report

message Invalid direct reference to form login page

description The request sent by the client was syntactically incorrect (Invalid direct reference to form login page).

Apache Tomcat/5.5.23

web。xml的配置如下:
<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.5"
 xmlns="http://java.sun.com/xml/ns/javaee"
 xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
 xsi:schemaLocation="http://java.sun.com/xml/ns/javaee
 http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">
<!--  
 <login-config>  
          <auth-method>CLIENT-CERT</auth-method>  
          <realm-name>Wrox   Area</realm-name>  
      </login-config>
    -->  

<login-config>
<auth-method>FORM</auth-method>
<form-login-config>
<form-login-page>/login.jsp</form-login-page>
<form-error-page>/login-failed.html</form-error-page>
</form-login-config>
</login-config>

<security-constraint>
 <web-resource-collection>
  <web-resource-name>Protected Area</web-resource-name>
  <url-pattern>/protected/*</url-pattern>
  <url-pattern>/login.jsp</url-pattern>
 </web-resource-collection>
 <auth-constraint>
  <role-name>begjsp</role-name>  
 </auth-constraint>
 
 <user-data-constraint>
  <transport-guarantee>CONFIDENTIAL</transport-guarantee>
 </user-data-constraint>
</security-constraint>

  <servlet>
    <description>This is the description of my J2EE component</description>
    <display-name>This is the display name of my J2EE component</display-name>
    <servlet-name>Test</servlet-name>
    <servlet-class>servlet.Test</servlet-class>
  </servlet>

  <servlet-mapping>
    <servlet-name>Test</servlet-name>
    <url-pattern>/protected/Test</url-pattern>
  </servlet-mapping>
  <welcome-file-list>
    <welcome-file>index.jsp</welcome-file>
  </welcome-file-list>
</web-app>
后来发现我是直接登陆login.jsp,而实际上不用事先访问login.jsp,在访问受保护资源时会自动跳转到login.jsp然后登陆成功会自动跳转回原来访问的url
按正常的访问受保护的资源:localhost:8080/protected/Test,然后自动跳转到login.jsp

关于tomcat的ssl的配置参见:java应用 tomcat中实现https安全连接的方法

参考:===========================================================================

Invalid direct reference to form login page

I am developing an application using form-based uthorization in Tomcat 4.0.3.

(My basic problem is that I want to log out, but until then I have another problem first..)

In my web.xml I have defined the login page:

<login-config>

<auth-method>FORM</auth-method>

<form-login-config>

<form-login-page>/login.jsp</form-login-page>

<form-error-page>/loginError.jsp</form-error-page>

</form-login-config>

</login-config>

The login page basically consist of the standard

<form name="loginForm" method="POST" action="j_security_check">

<input type="text" name="j_username">

<input type="password" name="j_password">

<input type="submit" value="Login Now">

</form>

It all works fine. When I try to access web-resource-collections protected by a security-constraint in web.xml I get redirected to login.jsp.

But if I go to login.jsp directly I get this strange behavior:

When entering correct user/pwd I get the error message "Apache Tomcat/4.0.3 - HTTP Status 400 - Invalid direct reference to form login page". But when entering an incorrect user/pwd I get send to the loginError.jsp page. Which means that at least the user/pwd get checked.

So can I or can't I link directly to the login.jsp page and perform a login? Any ideas?

---------------------------------------------

You can't simply point a browser at the login page because there's no way to tell it where to got next! The login page's action is a builtin process, not a servlet or JSP that could then move you along to the next page.

The idea behind the login facility is that since a user can jump into any part of a webapp that has a distinct URL, thus bypassing a login page, the whole login process is moved external to the webapp so that if someone addresses the webapp and they are not yet logged in, the original URL is intercepted, the login form is presented, and if (and ONLY if) the login succeeds will the original URL be presented.

I also discovered to my pain that in Tomcat, a login form containing page-external references (such as CSS links) loses that saved URL, so it's best to keep the login page plain.

qiu512300471
关注
Java程序员面试专栏 计算机基础】计算机网络 核心面试指引
MaoLin Tian's Blog
01-22 224
关于计算机网络部分的核心知识进行一网打尽,包括计算机的网络模型,各个层的一些重点概念,通过一篇文章串联面试重点,并且帮助加强日常基础知识的理解,全局思维导图如下所示
基于jsp(java)网络教学平台系统的设计和开发(含源文件)
(源文件分享)
02-09 7927
获取项目源文件,联系Q:1225467431,可指导毕设,课设 摘 要 远程教育作为现代教育技术的形式,给教育思想与技术带来了革命性的变革,己经成为现代教育的必然要求。远程教育要得以顺利、高效的实施,必然离不开高效的管理与支撑平台环境。构建基于Java技术的网络教学管理系统是进行远程教学的迫切需要.本文首先介绍了远程教育的发展状况,面向对象的系统开发平台以及对Web应用系统的支持,对象建模语言U...
java学生管理系统遇到的难题_java学生管理系统表单验证出现错误,登录出现404(问题详细具体,求高手解答,谢谢!)...
weixin_39753211的博客
02-28 336
struts.xml:UsersAction.,java:package action;import org.apache.struts2.interceptor.validation.SkipValidation;import service.UsersDAO;import service.impl.UsersDAOImpl;import com.opensymphony.xwork2.Mode...
急!!!跪求jboss4.0下的问题
zengjie_0_2001的专栏
01-18 1247
我在jboss4.0配置了dukesbank,但是在进入系统前出现以下问题:HTTP Status 400 - Invalid direct reference to form login pagetype Status reportmessage Invalid direct reference to form login pagedescription The req
跪求 解决办法!!!!!!!急………………
beancox520的专栏
09-28 275
我的电脑在看视频和下载的时候 就马上死机!是方正的,送给了售后服务,但是说没有什么问题,在售后服务那里就在也没有死机,刚回到宿舍就是死机!!!请高手帮忙解决下!!!!
基于策略模式---form表单验证
weikehang的博客
12-16 203
第一步:封装 class Check { constructor() { this.check = []; /**** * 内置常用的校验规则 * @type {{minLength(*=, *, *): (*|undefined), isPhone(*=, *): (*|undefined), isEmpty(*, *): (*|undefined)}...
ssl 客户端证书验证_SSL客户端身份验证:这是信任的问题
cuyi7076的博客
06-23 6504
[编者注:本文介绍了如何为Domino 4.6和4.6.1设置SSL客户机认证。] 互联网上最新的行业流行词是SSL。 但是SSL真正需要提供什么? 安全套接字层(SSL)是一种安全协议,可以: 加密通过网络发送的信息。 验证发送给收件人的邮件是否已被篡改。 验证服务器身份以防止服务器欺骗。 使用SSL 3.0验证客户端身份。 有关这些SSL概念的介绍,请参见H...
java web 安全机制_Java Web的安全验证机制的例子
weixin_31201555的博客
02-13 489
一起来看看Java Web的安全验证机制,这个问题和php或apache一个安全验证一些像了,有兴趣的可以进来看看,具体如下文介绍。security-constraint部署描述符的security-constraint元素允许不通过编程就可以限制对某个资源的访问。(1) web-resource-collection元素web-resource-collection元素标识需要限制访问的资源子...
Hplus表单验证与错误处理:用户友好的表单交互
然而,随着用户数量的增加和安全威胁的增加,表单验证和错误处理变得越来越重要。 表单验证的作用是确保用户提交的数据符合预期的格式和要求,有效地防止无效或恶意数据的提交,提高数据的质量和准确性。同时,错误...
HTTP 表单认证方式
01-26 523
1. web.xml 配置 FORM Auth Protected Area /test.do DELETE GET POST PUT tomcat role1 tomcat role1 FORM ...
web.xmlsecurity-constraint安全认证标签说明
热门推荐
u012045045的博客
01-23 1万+
在做web项目时由于想给webRoot下的jsp文件进行安全保护,控制不允许直接对jsp的访问,于是找到了tomcat的安全认证机制,只需要在web.xml进行一定的配置即可,非常方便。 1.因为使用了SpringMVC,这里先给出SpringMVC配置文件的视图解析器配置 &lt;bean class="org.springframework.web.servlet.view.Inte...
login-config之auth-method
rubyzhudragon的专栏
07-10 4030
login-config之auth-method1) "FORM"login code          logout codefunction logout(){document.logout.submit();} 2) "BASIC"how to logout? SSO   session.invalidate();      Cookie[]
Servlet url-pattern /与/*区别,*.action以及SpringMVC/*解析出错过程分析
Marvel__Dead 胡艺宝的博客
04-23 2947
以前在使用Servlet的时候,配置url-pattern基本上都是指定的路径,也没有仔细的研究,最近突然发现了一个问题,我们将url-pattern配制成/*,那么Servlet会处理与其匹配的路径,那么我们配制成/是不是效果一样呢?下面我们将通过实际示例来验证一下。 首先我们新建一个Web程序,创建过程这里就不再叙述了。然后我们再创建一个Servlet用于测试package com.gujin
WEB应用的身份验证(1)--基本身份验证BASIC authorization method
冬雨专栏
12-01 2630
网上有很多关于此类文章,但是有很多文章将的含糊不清,让人看了很是郁闷,更有甚者竟然把没有测试的文章也帖出来,真不知道这些人怎么想的。。。哎~!废话少说,让我们开始把~~!在任何一种WEB应用开发,不论大小规模的,每个开发者都会遇到一些需要保护程序数据的问题,涉及到用户的LOGIN ID和PASSWORD。那么如何执行验证方式更好呢?实际上,有很多方式来实现。在本文里,我们不会把所有的验
tomcat配合实现basic与FORM验证
jackyrongvip的专栏
09-08 763
在web应用,要经常对用户的身份进行验证的,但其实TOMCAT下配合SERVLET的话,也可以实现一些简单的验证,以往可能大家都会忽略之,现再简单总结学习之。1、BASIC验证机制     这有点象WINDOWS集成验证机制,就是验证时弹出一个窗口,要你输入用户名和密码。做法如下     首先建立在webapps下建立目录member,下面放一个需要假设要权限才能查看的页面test.ht
tomcat运行过程提示警告解决办法
llwan的专栏
11-11 9789
系统是ubuntu,项目部署在tomcat7之后,运行正常,但是运行一段时间就会提示以下警告:(注:只写一条,其他都是类似) Xml代码   十二月 04, 2013 5:10:15 下午 org.apache.catalina.realm.LockOutRealm authenticate  WARNING: An attempt was made to authentica
Java使用Apache HttpClient进行SSL证书验证的POST请求示例
1. **SSLContext**: SSLContext是Java的一个核心类,用于处理SSL/TLS协议。在创建HTTPS连接时,需要初始化一个SSLContext实例,它可以配置信任的证书或密钥库。 2. **NoopHostnameVerifier**: 这是一个不执行任何...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值