如何在错误页面上显示JAAS LoginException
作者:互联网
我在Tomcat 8.x Web服务器上使用JAAS和基于表单的Web身份验证.
在尝试登录时,用户被拒绝访问的原因有很多:
>用户名无效
>密码无效
>在数据库中没有帐户
>数据库中的帐户未激活
>数据库中的帐户没有必需的角色
>等……
在我的LoginModule中,我检查所有这些条件以及更多,如果不允许用户访问Web应用程序,则抛出LoginException.
JAAS似乎捕获抛出的LoginException,抛弃它,并将用户重定向到web.xml中指定的错误页面.
我花了几个小时的时间在谷歌上搜索,试图找到一种方法来获取登录异常的原因,但却出现空洞.
有没有办法让错误页面找出抛出LoginException的原因?
解决方法:
- invalid username
- invalid password
你不应该区分这两种情况.这样做会对攻击者造成信息泄露,一旦找到有效的用户名,就会减少搜索空间.您应该只报告“无效的用户名/密码组合”或类似内容.
- doesn’t have account in database
这与(1)相同.
- account in database is not active
如上所述,这也不应该被区分.
- account in database doesn’t have required roles
这不是登录失败.当用户执行需要缺少角色的操作时,这将成为访问拒绝,或者导致用户界面不显示缺少角色的操作.
我将适当的JAAS错误传递给应用程序所采用的解决方案是将它们添加为Subject的公共凭据.
标签:java,authentication,tomcat8,jaas 来源: https://codeday.me/bug/20190522/1153440.html