Web 儲存器應用程式安全 (webAppSecurity)
配置 Web 儲存器應用程式安全。
屬性名稱 | 資料類型 | 預設值 | 說明 |
---|---|---|---|
allowAuthenticationFailOverToAuthMethod |
|
指定憑證鑑別失敗時使用的鑑別失效接手方法。有效值是 BASIC 和 FORM。
|
|
allowFailOverToBasicAuth | boolean | false | 指定當憑證鑑別失敗時,是否進行基本鑑別 (BA) 的失效接手。在完整應用程式伺服器設定檔中的對等自訂內容是 com.ibm.wsspi.security.web.failOverToBasicAuth。 |
allowLogoutPageRedirectToAnyHost | boolean | false | 警告,安全風險:如果將此內容設為 true,系統可能會遭受潛在 URL 重新導向攻擊。如果設為 true,則可以為登出頁面重新導向指定任何主機。如果設為 false,且登出頁面指向不同的主機,或指向登出頁面重新導向網域清單中未列出的主機,則會顯示一般登出頁面。在完整應用程式伺服器設定檔中的對等自訂內容是 com.ibm.websphere.security.allowAnyLogoutExitPageHost。 |
displayAuthenticationRealm | boolean | false | 警告,安全風險:如果此內容設為 true,且使用者登錄的網域範圍名稱包含機密性資訊,則會對使用者顯示此資訊。比方說,如果使用 LDAP 配置,則會顯示 LDAP 伺服器主機名稱和埠。此配置控制當應用程式 web.xml 中未定義網域範圍名稱時,HTTP 基本鑑別登入視窗所顯示的項目。如果應用程式 web.xml 檔中定義了網域範圍名稱,則會忽略此內容。如果設為 true,則顯示的網域範圍名稱為 LTPA 鑑別機制的使用者登錄網域範圍名稱。如果設為 false,顯示的網域範圍名稱會是「預設網域範圍」。在完整應用程式伺服器設定檔中的對等自訂內容是 com.ibm.websphere.security.displayRealm。 |
httpOnlyCookies | boolean | true | 指定是否已啟用 HTTP 專用 (HttpOnly) Cookie 選項。 |
includePathInWASReqURL | boolean | false | 設定 Path 參數可讓用戶端/瀏覽器在同一使用者代理程式的多個同時登入期間,管理多個 WASReqURL Cookie。在完整應用程式伺服器設定檔中的對等自訂內容是 com.ibm.websphere.security.setContextRootForFormLogin。 |
loginFormURL | string | 指定表單登入頁面的廣域 URL,包括根環境定義在內。表單登入頁面必須是 WAR 檔的一部分。如果表單登入應用程式沒有在 web.xml 檔中指定表單登入頁面,它會使用廣域表單登入 URL。 | |
logoutOnHttpSessionExpire | boolean | false | 指定 HTTP 階段作業計時器過期之後是否登出使用者。如果設為 false,使用者認證會保持作用中,直到發生「單一登入」記號逾時為止。在完整應用程式伺服器設定檔中的對等自訂內容是 com.ibm.ws.security.web.logoutOnHTTPSessionExpire。 |
logoutPageRedirectDomainNames | string | 登出頁面重新導向所容許且以垂直線 (|) 區隔的網域名稱清單(本端主機是隱含的)。在完整應用程式伺服器設定檔中的對等自訂內容是 com.ibm.websphere.security.logoutExitPageDomainList。 | |
postParamCookieSize | int | 16384 | POST 參數 Cookie 的大小。如果 Cookie 的大小超過瀏覽器限制,可能會發生非預期的行為。這個內容的值必須是正整數,並且代表 Cookie 的大小上限(以位元組為單位)。在完整應用程式伺服器設定檔中的對等自訂內容是 com.ibm.websphere.security.util.postParamMaxCookieSize。 |
postParamSaveMethod |
|
Cookie | 指定重新導向時 POST 參數的儲存位置。有效值為 Cookie(POST 參數儲存於 Cookie 中)、階段作業(POST 參數儲存於 HTTP 階段作業中)和無(不保留 POST 參數)。在完整應用程式伺服器設定檔中的對等自訂內容是 com.ibm.websphere.security.util.postParamSaveMethod。
|
preserveFullyQualifiedReferrerUrl | boolean | false | 警告,安全風險:如果將此設為 true,系統可能會遭受潛在 URL 重新導向攻擊。這個內容指定是否保留表單登入重新導向的完整查閱者 URL。如果是 false,則會移除查閱者 URL 的主機,並重新導向至本端主機。在完整應用程式伺服器設定檔中的對等自訂內容是 com.ibm.websphere.security.util.fullyQualifiedURL |
singleSignonEnabled | boolean | true | 指定是否啟用單一登入。 |
ssoCookieName | string | LtpaToken2 | 自訂 SSO Cookie 名稱。自訂 Cookie 名稱可讓您以邏輯方式區隔 SSO 網域之間的鑑別,以及對特定環境啟用自訂鑑別。在設定此值之前,請考量設定自訂 Cookie 名稱可能導致鑑別失敗。舉例來說,當連接設有自訂 Cookie 內容的伺服器時,會將這個自訂 Cookie 傳送給瀏覽器。使用預設 Cookie 名稱或不同 Cookie 名稱的後續伺服器連線,無法透過入埠 Cookie 驗證來鑑別要求。在完整應用程式伺服器設定檔中的對等自訂內容是 com.ibm.websphere.security.customSSOCookieName。 |
ssoDomainNames | string | 應該呈現 SSO Cookie 且以垂直線 (|) 區隔的網域名稱清單。在完整應用程式伺服器設定檔中的對等自訂內容是 com.ibm.ws.security.config.SingleSignonConfig | |
ssoRequiresSSL | boolean | false | 指定 SSO Cookie 是否透過 SSL 傳送。在完整的應用程式伺服器設定檔中,對等內容是 requiresSSL。 |
ssoUseDomainFromURL | boolean | false | 指定是否對 Cookie 網域使用要求 URL 中的網域名稱。 |
trackLoggedOutSSOCookies | boolean | false | 指定是否追蹤在伺服器上登出的 LTPA 單一登入記號,使其無法在相同伺服器上重複使用。 |
useAuthenticationDataForUnprotectedResource | boolean | true | 指定存取未受保護的資源時是否可以使用鑑別資料。未受保護的資源可以存取其先前無法存取的經驗證的鑑別資料。這個選項可讓未受保護的資源呼叫 getRemoteUser、isUserInRole 和 getUserPrincipal 方法來擷取經鑑別的身分。在完整應用程式伺服器設定檔中的對等自訂內容是 com.ibm.wsspi.security.web.webAuthReq=persisting。 |
useOnlyCustomCookieName | boolean | false | 指定是否只使用自訂 Cookie 名稱。 |
wasReqURLRedirectDomainNames | string | WASReqURL 頁面重新導向所容許的網域名稱清單,並以垂直線 (|) 區隔。在表單登入要求上找到的主機名稱是隱含的。 | |
webAlwaysLogin | boolean | false | 指定當身分已通過鑑別時,login() 方法是否擲出異常狀況。 |