 Меню сайта |
|
| Форма входа |
|
| Категории раздела |
|
| Поиск |
|
| Статистика |
Онлайн всего: 1 Гостей: 1 Пользователей: 0 |
|
| Приветствую Вас, Гость · RSS |
09.05.2024, 05:25 |
|
WebLogic - как закрыть лишний доступ к страницам
В WebLogic при описании в web.xml правил доступа к открытой и закрытой (по аутентификации)
части Web-приложения по-умолчанию все, что не перечислено в привилах ограничений доступа
( <security-constraint>/<web-resource-collection>), сервер считает открытым и отдает по URL'у без пароля.
В частности, в приложении Struts неавторизованным пользователям видны jsp, которые не упрятаны под
WEB-INF и не фигурируют в security-constraint. Для Strust часто нужно вообще запретить прямой доступ
к страницам JSP, весь доступ должен выполняться через action'ы.
Чтобы этого достичь нужно добавить в web.xml еще одно правило security-constraint, в котором:
1. описать все ресурсы, доступ к которым скрывается от всех пользователей, например
2. указать название несуществующей роли
Например:
<security-constraint>
<display-name>Prohibited area</display-name>
<web-resource-collection>
<web-resource-name>Prohibited area</web-resource-name>
<url-pattern>/jsp/*</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>Prohibited</role-name>
</auth-constraint>
</security-constraint>
<security-role>
<description>Prohibited</description>
<role-name>Prohibited</role-name>
</security-role>
То есть нужно теперь следить, чтобы не появились пользователи с ролью Prohibited.
|
| Категория: Построение Web-интерфейса: все что касается JSF, ADF и AJAX | Добавил: basil (10.08.2012)
|
| Просмотров: 527 | Комментарии: 1
| Рейтинг: 0.0/0 |
|
|
