java - 上下文根的 Web.xml 安全约束不适用

Question

我有一个使用 web.xml 来配置其安全性的 java webapp:

<security-constraint>
    <web-resource-collection>
        <web-resource-name>webPages</web-resource-name>
        <description>All web resources</description>
        <url-pattern></url-pattern>
        <url-pattern>/admin/*</url-pattern>
        <http-method>POST</http-method>
        <http-method>GET</http-method>
    </web-resource-collection>
    <auth-constraint>
        <role-name>admins</role-name>
    </auth-constraint>
    <user-data-constraint>
        <description>SSL not required</description>
        <transport-guarantee>NONE</transport-guarantee>
    </user-data-constraint>
</security-constraint>

我希望/admin/* 下的所有页面都受到保护，这很有效。用户正确地首先看到一个登录屏幕，然后被重定向到原始请求的页面。

我还希望我的上下文根受到保护:http://host:port/context/但是，当我配置模式时 <url-pattern></url-pattern>并向 root 发出请求，我的 java Controller 刚刚开始工作并显示 View ，而用户从未看到登录屏幕。为什么这种模式适用于 <servlet-mapping> 之类的东西(将请求映射到 spring servlet)但不作为安全约束？

我在 chrome 和 firefox 中都试过并重新启动了多次。

Answer 1

您可以尝试白名单方法，这意味着只允许公共(public)资源访问。

Here is a better answer例如，但在您的情况下应该是这样的:

<security-constraint>
  <web-resource-collection>
    <web-resource-name>webPages</web-resource-name>
    <description>All web resources</description>
    <url-pattern>/</url-pattern>
    <http-method>POST</http-method>
    <http-method>GET</http-method>
  </web-resource-collection>
  <auth-constraint>
    <role-name>admins</role-name>
  </auth-constraint>
  <user-data-constraint>
    <description>SSL not required</description>
    <transport-guarantee>NONE</transport-guarantee>
  </user-data-constraint>
</security-constraint>
<security-constraint>   
  <web-resource-collection>
    <web-resource-name>Public Resources</web-resource-name>
    <url-pattern>/public/*</url-pattern>
    <url-pattern>/alsopublic</url-pattern>
    <url-pattern>...an so on...</url-pattern>
  </web-resource-collection>  
  <!-- to given public access don't set auth-constraint-->
</security-constraint>

编辑:引用 servlet 3 specification