代码之家  ›  专栏  ›  技术社区  ›  Shane Oliver

使用虚拟主机和别名的Tomcat安全配置

grails tomcat
  •  0
  • Shane Oliver  · 技术社区  · 14 年前 

    <Host name="domain1.com"  appBase="myApp"
        unpackWARs="true" autoDeploy="true"
        xmlValidation="false" xmlNamespaceAware="false">
    <Alias>domain2.com</Alias>
</Host>

    我们还想限制对web应用的访问(不同于使用站点的登录),所以我们使用了Tomcat安全性。

    以下是应用程序web.xml中的安全约束片段: 

    <security-constraint>
    <web-resource-collection>
      <web-resource-name>HTMLManger and Manager command</web-resource-name>
      <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
       <!-- NOTE:  This role is not present in the default users file -->
       <role-name>manager</role-name>
    </auth-constraint>
 </security-constraint>

<!-- Define the Login Configuration for this Application -->
<login-config>
    <auth-method>BASIC</auth-method>
    <realm-name>My Realm</realm-name>
</login-config>

<!-- Security roles referenced by this web application -->
<security-role>
    <description>
      The role that is required to log in to the Manager Application
    </description>
    <role-name>manager</role-name>
</security-role>

<error-page>
    <error-code>401</error-code>
    <location>/401.jsp</location>
</error-page>

    下面是一个场景:当用户浏览domain1.com时,将显示基本身份验证弹出窗口。然后用户输入用户名和密码组合以进入站点。然后,用户希望登录到web应用程序(以便能够使用更多功能)。登录机制(使用acegi)也需要登录domain2.com。现在,在用户可以登录domain2.com之前,他/她需要为基本身份验证弹出窗口输入相同的凭据。所以基本上,用户需要使用tomcatweb安全两次,这是我们需要避免的。

    谢谢!

    1 回复  |  直到 14 年前
        1
  •  1
  •   Sammyrulez    14 年前

    如果您有一个两级身份验证系统,那么您真的应该考虑像CAS这样的SSO。不推荐使用的Acegi插件和grails的新Spring安全插件都支持CAS。在互联网网站场景中,OpenID也可以是一个简单而廉价(免费)的选择。一级身份验证系统和更细粒度的角色建模也可以选择

    推荐文章
    Ilkhom Tashkulov  ·  (Spring)未满足的依赖项异常
    2 年前
    Naveen Kumar  ·  使用spring引导安全性的web应用程序中的循环依赖
    2 年前
    hhuntercu  ·  带Tomcat 9.0的DSpace 7.2-循环占位符引用“DSpace”。属性定义中的dir
    2 年前
    david  ·  Spring war文件“java.sql.SQLException:找不到适合jdbc:postgresql的驱动程序:”
    6 年前
    Rasool Ghafari  ·  如何在spring boot和嵌入式tomcat中设置mod_reqtimeout?
    6 年前
    gigashark  ·  部署生成的Maven Spring项目不起作用
    6 年前
    blackdog  ·  如何在Springboot中禁止'DELETE'http请求?
    6 年前
    Tristan Le Gacque  ·  ApachePOI:NoClassDefFoundError:org。阿帕奇。poi。openxml4j。例外情况。invalidFormatException无效格式异常
    6 年前
    Carlos Chávez  ·  Tomcat/Hibernate配置
    6 年前
    Created Bylucky  ·  我正在获取异常组织。阿帕奇。卡特琳娜。果心应用程序Dispatcher。invoke引发java异常。lang.IllegalStateException异常
    6 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号