tomcat对于web.xml的security-constraint使用的处理机制

最新推荐文章于 2023-06-02 17:37:56 发布
最新推荐文章于 2023-06-02 17:37:56 发布
阅读量1.8k 收藏
点赞数
分类专栏: 应用服务 文章标签: security-constraint tomcat web.xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wjxbj/article/details/84766158
版权
本文详细介绍了Tomcat服务器在处理web.xml文件中的<security-constraint>元素时的机制。当<http-method>缺失时,所有HTTP方法都将被禁止访问资源。<auth-constraint>元素需与<login-config>配合,若缺失或为空,将影响权限控制。对于同一个URL模式,若有两个<security-constraint>,一个设置了角色限制,另一个未设置,Tomcat会按AuthenticatorBase类的逻辑处理,只要有不限角色的配置,该URL模式就不会受角色限制,允许任意角色和匿名用户访问。
摘要由CSDN通过智能技术生成

一.知识点

        web.xml中<security-constraint> 的子元素 <http-method> 是可选的,如果没有 <http-method> 元素,这表示将禁止所有 HTTP 方法访问相应的资源。

        子元素 <auth-constraint> 需要和 <login-config> 相配合使用,但可以被单独使用。如果没有 <auth-constraint> 子元素,这表明任何身份的用户都可以访问相应的资源。也就是说,如果 <security-constraint> 中没有 <auth-constraint> 子元素的话,配置实际上是不起中用的。如果加入了 <auth-constraint> 子元素,但是其内容为空,这表示所有身份的用户都被禁止访问相应的资源。 

 

二.问题

        对于同一个url-pattern,在web.xml出现2个<security-constraint>,一个是对该url-pattern进行了role的限制,一个没有限制role,会如何?

 

三.实践

        一个是对该url-pattern进行了role的限制,即配置auth-constraint,如:

<security-constraint>  
    <web-resource-collection>  
      <web-resourc
最低0.47元/天 解锁文章
wjxbj
关注
专栏目录
web.xml中的Security Constraint元素
lolichan的博客
09-27 1467
&lt;security-constriant&gt;元素是tomcat用来指示服务器对客户端访问服务端资源进行安全约束。如果不通过验证则报403错误 &lt;security-constraint&gt;     &lt;web-resource-collection&gt;       &lt;web-resource-name&gt;test&lt;/web-resource-...
[原创]基于TOMCAT的安全认证
zxmzxy的专栏
12-25 208
      做过WEB项目的都知道,一但涉及用户,我们不得不为用户登录写一堆繁杂的验证代码。当然Spring AOP的诞生为我们的权限管理提供了不少的便利。甚至你也以用自己写的Filter(过滤器)来对你的程序进行登录时的验证。今天在这里和大家分享一种更为简便的方法,它就是Java Web的安全验证机。       这种机是对立地WEB的容器之上的,如Tomcat,JBoss等,你只须在你应用...
Tomcat -- 安全认证 -- About</security-constraint>
华天下
08-18 262
[code="java"] 做过WEB项目的都知道,一但涉及用户,我们不得不为用户登录写一堆繁杂的验证代码。当然Spring AOP的诞生为我们的权限管理提供了不少的便利。甚至你也以用自己写的Filter(过滤器)来对你的程序进行登录时的验证。今天在这里和大家分享一种更为简便的方法,它就是Java Web的安全验证机。 这种机是对立地WEB的容器之上的,如Tomcat,JBos...
Tomcat全局/局部https访问配置方法【tomcat容器的配置文件web.xml中添加security-constraint
Thinking
08-01 1万+
文章来源:
详解Spring mvc的web.xml配置说明
08-31
除了以上提到的配置,`web.xml`还可以包含错误页面定义、安全配置(如`<security-constraint>`)、本地化支持(`locale-encoding-mapping-list`)等。正确的配置有助于提升应用程序的性能、安全性和可维护性。理解并...
tomcat服务器配置https,tomcat需要设置的server.xml与web.xml配置
03-10
Tomcat的`conf`目录下,有两个主要的XML配置文件:`server.xml`和`web.xml`。`server.xml`是Tomcat的主要配置文件,而`web.xml`则定义了应用程序的行为。 在`server.xml`中,我们需要配置`<Connector>`元素来启用...
apache-tomcat-9.0.34-src.zip
06-21
6. **安全管理**:Tomcat的权限管理和角色认证机,包括 Realm 和 Security Constraint 的实现。 7. **错误处理和日志记录**:Tomcat如何处理异常并记录日志信息,以及如何自定义这些行为。 8. **部署和热更新**:...
web.xml标签内容详解
weixin_41623699的博客
02-20 827
web.xml详解
【中间件安全】Tomcat 安全加固规范
12-14 6884
1. 适用情况 适用于使用Tomcat进行部署的Web网站。 2. 技能要求 熟悉Tomcat配置操作,能够利用Tomcat进行建站,并能针对站点使用Tomcat进行安全加固。 3. 前置条件 1、根据站点开放端口,进程ID,进程名称,确认站点采用Tomcat进行部署; 2、找到Tomcat路径: 方法一:开始-&gt;所有程序-&gt;Apache Tomcat-&gt;打开文件位...
Tomcat -- 安全认证 About</security-constraint>[/
iteye_3748的博客
03-03 169
[url=http://www.cnblogs.com/yan5lang/archive/2010/09/25/1834364.html]Tomcat -- 安全认证 About[/url]
Tomcat安全配置
最新发布
沧笙踏歌的博客
06-02 3720
删除webapps目录中的docs、examples、host-manager、manager等正式环境用不着的目录,这一步就可以解决大部分漏洞。有的网站没删除manager页面,并且管理员弱口令,导致直接Getshell删除webapps目录下的自带项目。
tomcat下配置web.xml修复不安全的请求方法漏洞。
ssf1987的专栏
01-09 1773
1、黑名单方式: &lt;security-constraint&gt; &lt;web-resource-collection&gt; &lt;web-resource-name&gt;fortune&lt;/web-resource-name&gt; &lt;url-pattern&gt;/*&lt;/url-pattern&...
web.xmlsecurity-constraint安全认证标签说明
u012045045的博客
01-23 1万+
在做web项目时由于想给webRoot下的jsp文件进行安全保护,控不允许直接对jsp的访问,于是找到了tomcat的安全认证机,只需要在web.xml中进行一定的配置即可,非常方便。 1.因为使用了SpringMVC,这里先给出SpringMVC配置文件中的视图解析器配置 &lt;bean class="org.springframework.web.servlet.view.Inte...
学习记录 -- web.xmlsecurity-constraint配置测试
热门推荐
Welcome to IronC's Blog
06-28 1万+
在做web项目时由于想给webRoot下的jsp文件进行安全保护,控不允许直接对jsp的访问,于是找到了tomcat的安全认证机,只需要在web.xml中进行一定的配置即可,非常方便。 1.因为使用了SpringMVC,这里先给出SpringMVC配置文件中的视图解析器配置 -->
一篇关于web.xml配置的详细说明
gdsy的专栏
06-27 1705
1 定义头和根元素部署描述符文件就像所有XML文件一样,必须以一个XML头开始。这个头声明可以使用的XML版本并给出文件的字符编码。DOCYTPE声明必须立即出现在此头之后。这个声明告诉服务器适用的servlet规范的版本(如2.2或2.3)并指定管理此文件其余部分内容的语法的DTD(Document Type Definition,文档类型定义)。所有部署描述符文件的顶层(根)元素为web-ap
Tomcat内置的简单安全域配置
beeworkshop的博客
02-06 782
一. 内存域配置 内存域是由org.apache.catalina.realm.MemoryRealm类来实现。默认使用<CATALINA_HOME>/conf/tomcat-users.xml来配置登陆用户账号信息。 在Eclipse中如下: 配置MemoryRealm的步骤: 在web.xml中配置安全约束,角色和认证方式。 <?xml version="1.0" encodi...
Tomcat安全域简介
weixin_43882265的博客
02-05 486
安全域是Web服务器用来保护Web应用的资源的一种机。在安全域中可以配置安全验证信息,其用户信息(包括用户名和口令)以及用户和角色的映射关系。每个用户可以拥有一个或多个角色,每个角色限定了可访问的Web资源。安全域是Tomcat内置的功能,在org.apache.catalina.Realm接口中声明了把一组用户名、口令以及所关联的角色集成到Tomcat中的方法。Tomcat为 Realm接口提供了一些实现类。下表列出了常见的一些 Realm实现类,它们代表不同的安全域类型。安全域类型类名描述。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值