Web 容器应用程序安全性 (webAppSecurity)
配置 Web 容器应用程序安全性。
属性名称 | 数据类型 | 缺省值 | 描述 |
---|---|---|---|
allowAuthenticationFailOverToAuthMethod |
|
指定当证书认证失败时将使用的认证故障转移方法。有效值为 BASIC 和 FORM。
|
|
allowFailOverToBasicAuth | 布尔型 | false | 指定当证书认证失败时,是否故障转移至基本认证。完整应用程序服务器概要文件中的等效定制属性为 com.ibm.wsspi.security.web.failOverToBasicAuth。 |
allowLogoutPageRedirectToAnyHost | 布尔型 | false | 警告 - 安全风险:将此属性设置为 true 可能会使您的系统面临潜在的 URL 重定向攻击。如果设置为 true,那么可以为注销页面重定向指定任何主机。如果设置为 false,并且注销页面指向另一主机或注销页面重定向域列表中未列出的主机,那么会显示通用注销页面。完整应用程序服务器概要文件中的等效定制属性为 com.ibm.websphere.security.allowAnyLogoutExitPageHost。 |
displayAuthenticationRealm | 布尔型 | false | 警告 - 安全风险:如果此属性设置为 true,并且用户注册表的域名包含敏感信息,那么将向用户显示这些信息。例如,如果使用 LDAP 配置,那么将显示 LDAP 服务器主机名和端口。此配置控制当应用程序 web.xml 中未定义域名时,HTTP 基本认证登录窗口显示的内容。如果应用程序 web.xml 文件中定义了域名,那么将忽略此属性。如果设置为 true,那么显示的域名将是 LTPA 认证机制的用户注册表域名。如果设置为 false,那么显示的域名将是“缺省域”。完整应用程序服务器概要文件中的等效定制属性为 com.ibm.websphere.security.displayRealm。 |
httpOnlyCookies | 布尔型 | true | 指定是否启用仅用于 HTTP (HttpOnly) 的 cookie 选项。 |
includePathInWASReqURL | 布尔型 | false | 设置路径参数可允许客户端/浏览器在同一用户代理上存在多个并行登录时管理多个 WASReqURL cookie。完整应用程序服务器概要文件中的等效定制属性为 com.ibm.websphere.security.setContextRootForFormLogin。 |
loginFormURL | string | 指定表单登录页面的全局 URL(其中包括根上下文)。该表单登录页面必须包含在 WAR 文件中。如果表单登录应用程序未在 web.xml 文件中指定该表单登录页面,那么它会使用全局表单登录 URL。 | |
logoutOnHttpSessionExpire | 布尔型 | false | 指定 HTTP 会话计时器到期之后是否将注销用户。如果此属性设置为 false,那么在单点登录令牌超时发生之前,用户凭证将保持活动状态。完整应用程序服务器概要文件中的等效定制属性为 com.ibm.ws.security.web.logoutOnHTTPSessionExpire。 |
logoutPageRedirectDomainNames | string | 允许进行注销页面重定向的以竖线 (|) 分隔的域名列表(隐含 localhost)。完整应用程序服务器概要文件中的等效定制属性为 com.ibm.websphere.security.logoutExitPageDomainList。 | |
postParamCookieSize | 整形 | 16384 | POST 参数 cookie 的大小。如果 cookie 的大小大于浏览器限制,那么可能会发生意外行为。此属性的值必须是正整数,并表示 cookie 的最大大小(以字节计)。完整应用程序服务器概要文件中的等效定制属性为 com.ibm.websphere.security.util.postParamMaxCookieSize。 |
postParamSaveMethod |
|
Cookie | 指定在重定向时将 POST 参数存储在何处。有效值包括 cookie(将 POST 参数存储在 cookie 中)、session(将 POST 参数存储在 HTTP 会话中)和 none(不保留 POST 参数)。完整应用程序服务器概要文件中的等效定制属性为 com.ibm.websphere.security.util.postParamSaveMethod。
|
preserveFullyQualifiedReferrerUrl | 布尔型 | false | 警告 - 安全风险:将此属性设置为 true 可能会使您的系统受到潜在的 URL 重定向攻击。此属性指定是否保留表单登录重定向的标准来源页 URL。如果为 false,那么将移除来源页 URL 的主机,并且重定向目标将为 localhost。完整应用程序服务器概要文件中的等效定制属性为 com.ibm.websphere.security.util.fullyQualifiedURL。 |
singleSignonEnabled | 布尔型 | true | 指定是否启用单点登录。 |
ssoCookieName | string | LtpaToken2 | 定制 SSO cookie 名称。定制 cookie 名称使您可以在逻辑上分离不同 SSO 域的认证,并可以启用对特定环境的定制认证。设置此值之前,请注意设置定制 cookie 名称可能会导致认证失败。例如,如果服务器设置了定制 cookie 属性,那么到该服务器的连接会将此定制 cookie 发送至浏览器。使用缺省 cookie 名称或其他 cookie 名称的服务器后续连接无法通过验证入站 cookie 来认证请求。完整应用程序服务器概要文件中的等效定制属性为 com.ibm.websphere.security.customSSOCookieName。 |
ssoDomainNames | string | 应该显示 SSO cookie 的以竖线 (|) 分隔的域名列表。完整应用程序服务器概要文件中的等效定制属性为 com.ibm.ws.security.config.SingleSignonConfig。 | |
ssoRequiresSSL | 布尔型 | false | 指定是否通过 SSL 发送 SSO cookie。完整应用程序服务器概要文件中的等效属性为 requiresSSL。 |
ssoUseDomainFromURL | 布尔型 | false | 指定是否将来自请求 URL 的域名用于 cookie 域。 |
trackLoggedOutSSOCookies | 布尔型 | false | 指定是否跟踪已在服务器上注销的 LTPA 单点登录令牌以便阻止在同一服务器上复用这些令牌。 |
useAuthenticationDataForUnprotectedResource | 布尔型 | true | 指定当访问不受保护的资源时,是否可使用认证数据。不受保护的资源可访问它先前未能访问的已验证的认证数据。此选项使不受保护的资源能够调用 getRemoteUser、isUserInRole 和 getUserPrincipal 方法来检索已认证的标识。完整应用程序服务器概要文件中的等效定制属性为 com.ibm.wsspi.security.web.webAuthReq=persisting。 |
useOnlyCustomCookieName | 布尔型 | false | 指定是否仅使用定制 Cookie 名称。 |
wasReqURLRedirectDomainNames | string | 允许用于 WASReqURL 页面重定向的以竖线 (|) 分隔的域名列表。将隐含在表单登录请求中找到的主机名。 | |
webAlwaysLogin | 布尔型 | false | 指定当已认证标识时,login() 方法是否将抛出异常。 |