- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
自从我完成 JASPIC 工作以来已经很久了。
我有一个 web.xml
看起来像这样:
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns="http://xmlns.jcp.org/xml/ns/javaee"
xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee
http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"
version="3.1">
<security-constraint>
<web-resource-collection>
<web-resource-name>service-broker-related-resources</web-resource-name>
<url-pattern>/v2/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>emcc</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>Frob Service Broker</realm-name>
</login-config>
<security-role>
<role-name>emcc</role-name>
</security-role>
</web-app>
我还设置并安装了服务器身份验证模块 (SAM)。它在我的 glassfish-web.xml
中提到像这样:
<!DOCTYPE glassfish-web-app PUBLIC "-//GlassFish.org//DTD GlassFish Application Server 3.1 Servlet 3.0//EN" "http://glassfish.org/dtds/glassfish-web-app_3_0-1.dtd">
<glassfish-web-app httpservlet-security-provider="emccSAM">
我的 SAM 工作正常。
事实上,它的效果有点太好了!它正在拦截所有请求,而不仅仅是 <url-pattern>
标识的请求。的 /v2/*
.这最初让我感到惊讶。
但是当我认真思考这个问题时,我认为这有一定的道理:SAM 现在负责身份验证,而不是容器,真的。
web.xml
也是如此现在基本上无关紧要了?
然后我想了更多关于它并且显然它是相关的,因为它的内容还说明了在身份验证发生后要做什么,即如果用户通过 SAM 成功验证,现在检查她是否有 emcc
角色。如果她不这样做,并且大概请求以 /v2/
开头,然后我们将她引导出去。如果她不这样做,并且大概是请求以其他任何内容开头,那么我们会让她加入。
那么,我的 SAM 必须有效地自行决定所有传入请求是否值得验证,这是预期的行为吗?我希望我的 SAM 会“正常”触发,即仅当有人尝试访问需要身份验证的 URI 时,如 <security-constraint>
所述.
可能值得注意的是,唯一运行的 servlet 是 JAX-RS Application
时默认安装的那个。类用 @ApplicationPath("/v2")
注释.
最佳答案
SAM 确实完全负责身份验证。它可能尊重声明性配置,但不是必需的。它甚至可以完全自行执行 Servlet 请求的授权(尽管这样做会超出其契约(Contract)范围)。
根据 JASPIC 规范的第 3.8.3 节,要求在配置的 ServerAuthContext
上调用 validateRequest
(因此它的单个封装 SAM 也是如此,在此case) “满足相应连接要求的每个请求”。
如果 SAM 希望知道 Servlet 端点是否应该在描述符或注释方面被视为“ protected ”,它可以在 请求
上调用 isMandatory
MessagePolicy
参数在初始化时转发给它,或者在消息身份验证时探测 MessageInfo
参数的映射以了解是否存在 "javax.security.auth.message。 MessagePolicy.isMandatory"
键和映射值等于 Boolean.valueOf(value).booleanValue() == true
(规范 § 3.8.1.1)。
最后但并非最不重要的一点——声明性安全约束与授权无关吗?首先,我不确定各种规范是否适合 SAM 分配未声明的角色。除此之外,我还没有尝试过这个,所以我现在只能猜测并提供一个模糊的答案。我对此的看法是,它或多或少与身份验证提供商的情况相同。您实质上是在远离 AS 承担配置提供者的责任,因此您必须以某种方式进行补偿,即提供替代配置接口(interface)。说授权由一些 JACC 提供者管理。如果它是默认的、AS 提供的,在没有声明性安全约束的情况下,它会无法确认调用者需要处于 "emcc"
角色才能访问/v2/*
资源集合,即具有等效的 WebRoleRefPermission
映射到它们的 Principal
;因此,Policy::implies
将始终授予访问权限。但是手工制作的提供程序,如自定义 SAM,可以从其他地方检索该知识,这样 @RolesAllowed
和委托(delegate)给它的 friend 仍然可以工作。毕竟它不像 Java EE 安全模型——包括填充 Subject
的“管道”,将它们绑定(bind)到请求线程的 AccessControlContext
,处理 Subject::doAs(Privileged)
调用等等——变得无关紧要,只有提供者如何获得约束。自然地,您的要求是否值得麻烦的问题仍然存在。
关于jakarta-ee - 使用 JASPIC 进行身份验证时,web.xml 在身份验证方面是否仍然相关?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/47623224/
正如标题中所问,我有两个如下结构的 XML 文件 A.xml //here I want to include B.xml
我有一个 xml 文件。根据我的要求,我需要更新空标签,例如我需要更改 to .是否可以像那样更改标签.. 谢谢... 最佳答案 var xmlString=" "; var properStri
我有这样简单的 XML: Song Playing 09:41:18 Frederic Delius Violin Son
在我的工作中,我们有自己的 XML 类来构建 DOM,但我不确定应该如何处理连续的空格? 例如 Hello World 当它被读入 DOM 时,文本节点应该包含 Hello 和 World
我有以下 2 个 xml 文件,我必须通过比较 wd:Task_Name_ID 和 TaskID 的 XML 文件 2。 例如,Main XML File-1 wd:Task_Name_ID 具有以下
我在 Rails 应用程序中有一个 XML View ,需要从另一个文件插入 XML 以进行测试。 我想说“构建器,只需盲目地填充这个字符串,因为它已经是 xml”,但我在文档中看不到这样做的任何内容
我正在重建一些 XML 提要,因此我正在研究何时使用元素以及何时使用带有 XML 的属性。 一些网站说“数据在元素中,元数据在属性中。” 那么,两者有什么区别呢? 让我们以 W3Schools 为例:
在同一个文档中有两个 XML 声明是否是格式正确的 XML? hello 我相信不是,但是我找不到支持我的消息来源。 来自 Extensible Markup Language
我需要在包装器 XML 文档中嵌入任意(语法上有效的)XML 文档。嵌入式文档被视为纯文本,在解析包装文档时不需要可解析。 我知道“CDATA trick”,但如果内部 XML 文档本身包含 CDAT
XML 解析器和 XML 处理器是两个不同的东西吗?他们是两个不同的工作吗? 最佳答案 XML 解析器和 XML 处理器是一样的。它不适用于其他语言。 XML 是通用数据标记语言。解析 XML 文件已
我使用这个 perl 代码从一个文件中读取 XML,然后写入另一个文件(我的完整脚本有添加属性的代码): #!usr/bin/perl -w use strict; use XML::DOM; use
我正在编写一个我了解有限的历史脚本。 对象 A 的类型为 system.xml.xmlelement,我需要将其转换为类型 system.xml.xmldocument 以与对象 B 进行比较(类型
我有以下两个 XML 文件: 文件1 101 102 103 501 502 503
我有以下两个 XML 文件: 文件1 101 102 103 501 502 503
我有一个案例,其中一个 xml 作为输入,另一个 xml 作为输出:我可以选择使用 XSL 和通过 JAXB 进行 Unmarshalling 编码。性能方面,有什么真正的区别吗? 最佳答案 首先,程
我有包含 XML 的 XML,我想使用 JAXB 解析它 qwqweqwezxcasdasd eee 解析器 public static NotificationRequest parse(Strin
xml: mario de2f15d014d40b93578d255e6221fd60 Mario F 23 maria maria
尝试更新 xml 文件数组时出现以下错误。 代码片段: File dir = new File("c:\\XML"); File[] files = dir.listFiles(new Filenam
我怎样才能完成这样的事情: PS /home/nicholas/powershell> PS /home/nicholas/powershell> $date=(Get-Date | ConvertT
我在从 xml 文件中删除节点时遇到一些困难。我发现很多其他人通过各种方式在 powershell 中执行此操作的示例,下面的代码似乎与我见过的许多其他示例相同,但我没有得到所需的行为。 我的目标是将
我是一名优秀的程序员,十分优秀!