如何在WebSphere上获得基本身份validation?
好的,所以我一直在Tomcat上运行Java / Jersey Web服务,基本身份validation工作正常。 我已经在项目的web.xml文件中设置了权限,用户在服务器上的tomcat-users.xml中设置了权限。 效果很好。
问题是,现在我必须将这个项目转移到WebSphere,而这远远不如基本身份validation的实现那么简单。
我已经看到了这个问题: Websphere 6.1和BASIC身份validation,并查看了这个 pdf的第7章,如同建议,但我似乎无法找到正确的设置(我没有像大多数方法一样使用标记为’启用全局安全’的选项) ,我正在尝试运行我的项目,而pdf是特定于项目的。
那么要清楚地问我的问题,在WebSphere 6.1上启用基本身份validation的最简单方法是什么?
写下以下所有内容后,我记得我在这里为自己写过这篇文章:
WebSphere 6.1和应用程序身份validation
据我了解,您已正确设置web.xml:
myrole mySec /yourUrl DELETE GET POST PUT HEAD TRACE OPTIONS myrole SSL or MSSL not required NONE BASIC my login 这是如果你使用管理控制台,你不要说你不是这样去控制台:
http://localhost:9060/ibm/console
然后登录(如果您有管理安全设置)
然后去这里
- 左侧面板单击安全性
- 安全的管理,应用程序和基础架构
- 然后在页面上有一节应用程序安全性
- 选中启用应用程序安全性框
- 单击“应用”,然后保存到主配置。
然后打开应用程序安全性。 现在,您需要将应用程序的用户映射到websphere中的用户。
到这里
- 项目清单
- 应用>企业应用
- 单击您的应用程序
- 在详细属性部分下,您将看到链接安全角色到用户/组映射
如果您的web.xml设置正确,您将只看到此链接 - 单击安全角色到用户/组映射
- 选择要用于身份validation的角色
- 单击查找用户或查找组
- 单击“搜索”并选择用户(在“用户和组”菜单下的websphere中设置)
- 使用箭头将选定的用户/组移动到右侧框
- 单击确定并保存到主配置。
- 重启你的服务器。
必须打开管理安全性(Websphere本身的安全性)才能使其正常工作。
WebSphere可能很复杂,但function强大且function强大。
你不应该列出http方法。 这样做意味着安全约束仅适用于那些方法,并且可以使用所谓的“扩展”方法绕过,例如JEFF方法。 只需删除它们,约束将适用于所有内容。 有一篇关于http动词篡改的论文,请访问https://www.aspectsecurity.com/research/aspsec_presentations/download-bypassing-web-authentication-and-authorization-with-http-verb-tampering/