编程语言
首页 > 编程语言> > Java – Tomcat 6.0中的BASIC身份验证和SSL配置失败

Java – Tomcat 6.0中的BASIC身份验证和SSL配置失败

作者:互联网

该应用程序是一个简单的JSP / Servlet应用程序.我想执行用户身份验证(使用BASIC身份验证),如果用户通过身份验证,我将使用SSL(即https)将它们重定向到主屏幕.必须在单击按钮时执行BASIC身份验证.

为了达到这个目的;最初我在我的web.xml中配置了BASIC身份验证,如下所示:

<security-role>
  <role-name>Admin</role-name>      
</security-role>
<security-role>
  <role-name>Guest</role-name>
</security-role>
<security-constraint>      
  <web-resource-collection>
      <web-resource-name>BasicDemo</web-resource-name>
      <url-pattern>/*</url-pattern>
      <http-method>POST</http-method>
  </web-resource-collection>
  <auth-constraint>
      <role-name>Admin</role-name>
  </auth-constraint>
</security-constraint>
<login-config>
  <auth-method>BASIC</auth-method>      
</login-config>

代码的用户BASIC Authentcation部分工作正常(弹出对话框出现询问用户名和密码,它工作正常)

然后我按照以下步骤配置SSL:

1)使用keytool生成密钥库

2)在server.xml中添加了以下条目:

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
           maxThreads="150" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS" 
       keystoreFile="${user.home}/.keystore"
       keystorePass="password" />

3)在web.xml里面添加了这个

<user-data-constraint>
      <transport-guarantee>CONFIDENTIAL</transport-guarantee>
  </user-data-constraint> 

在运行应用程序时,下面是我遇到的问题:

1)单击按钮(必须为其执行BASIC身份验证)时,未出现身份验证对话框(出现在BASIC身份验证中,要求输入用户名和密码)

2)我被重定向到一个带有https的链接(是的,https中出现的https)和GET,并且servlet的doGet()方法被执行,这是不正确的,因为提交按钮表单是这样的,henc doPost方法应该是执行而不是doGet:

<form action="CentralController" method="post">

我身边的一个错误可能是使用POST而不是GET进行身份验证,但我觉得这应该可行,我可能会遗漏一些东西,因此它不起作用.请让我知道问题在哪里以及如何解决问题达到我的期望.

编辑

web.xml中的Servlet定义

 <servlet>
  <servlet-name>CentralController</servlet-name>
  <servlet-class>com.controller.CentralController</servlet-class>
  </servlet>
  <servlet-mapping>
  <servlet-name>CentralController</servlet-name>
  <url-pattern>/CentralController</url-pattern>
  </servlet-mapping>

这是形式:

<form action="CentralController" method="post">
    <input type="submit" value="Submit" name="submit">
</form>

解决方法:

在获取/转换后,如果我正确理解您的方案,您将遇到经典的HTTP重定向“问题”.

当使用非SSL请求访问SSL安全性约束时,服务器将客户端HTTP 302响应(也称为重定向)发送到https URL.
此重定向的实现在所有客户端HTTP堆栈上并不完全相同,但基本上大多数情况下,重定向是通过发出GET来处理的,无论原始HTTP动词是什么(POST或其他).

您可以在维基百科及其链接上找到关于此的许多讨论
http://en.wikipedia.org/wiki/HTTP_302
有关讨论,另请参见Response.Redirect with POST instead of Get?HTTP: POST request receives a 302, should the redirect-request be a GET?.
或者通常在谷歌上,“HTTP 302 POST”.

可悲的结论是,当发送(在您的情况下为HTTP到HTTPS)重定向时,您不能指望保留原始请求的POST性质,它将取决于浏览器,并且有许多浏览器会发出获取重定向状态代码(302,307等).

您可能仍希望尝试上面第一个链接中描述的解决方法.

标签:java,ssl,xml,tomcat6,basic-authentication
来源: https://codeday.me/bug/20190901/1781484.html