Unterstützung von Java Servlet 3.1 für die Sicherheit konfigurieren

WebSphere Application Server Traditional unterstützt alle Sicherheitsaktualisierungen, die in der Spezifikation Java™ Servlet 3.1 definiert sind.

Informationen zu diesem Vorgang

Nutzen Sie die Funktionen von Java Servlet 3.1 in WebSphere Application Server Traditional.

Vorgehensweise

  1. Nehmen Sie das Feature servlet-3.1 in die Datei server.xml auf:
    <feature>servlet-3.1</feature>
  2. Legen Sie fest, welche der folgenden Java Servlet 3.1-Funktionen Sie verwenden möchten:
    • Geben Sie im Anmeldeformular autocomplete=off an.
      Wenn Sie HTML für eine Formularanmeldeseite verwenden, geben Sie im Kennwortformularfeld autocomplete="off" an, um das automatische Eintragen von Kennwörtern im Web-Browser zu inaktivieren. Beispiel:
      <form method="POST" action="j_security_check">
      <input type="text" name="j_username">
      <input type="password" name="j_password" autocomplete="off">
      </form>
    • Geben Sie die Integritätsbedingung für die Sicherheit (**) an, d. h. alle authentifizierten Benutzer.
      Der Sonderrollenname ** legt fest, dass alle authentifizierten Benutzer zulässig sind. Wenn ** in einer Berechtigungsintegritätsbedingung angezeigt wird und der Benutzer authentifiziert wird, hat diese Benutzer Zugriff auf die Methoden, die in der Integritätsbedingung angegeben sind. Die Benutzer müssen dieser Rolle in den Anwendungsbindungen nicht zugeordnet werden. Beispiel:
      <security-constraint id="SecurityConstraint_1">
      		<web-resource-collection id="WebResourceCollection_1">
      			<web-resource-name>Protected with ** role</web-resource-name>
      			<url-pattern>/AnyAuthSecurityConstraint</url-pattern>
      			<http-method>GET</http-method>
      			<http-method>POST</http-method>
      		</web-resource-collection>
      		<auth-constraint id="AuthConstraint_1">
      			<role-name>**</role-name>
      		</auth-constraint>
      </security-constraint>

      Wenn die Methode isUserInRole() mit dem Rollennamen ** aufgerufen wird, gibt isUserInRole() bei Authentifizierung des Benutzers den Wert "true" zurück. Wenn ** eine definierte Rolle in der Konfiguration in einer Sicherheitsrolle angegeben ist, wird diese Rolle nicht wie die Sonderrollge "Alle authentifizierten Benutzer" behandelt. Der Benutzer muss dieser Rolle in den Anwendungsbindungen zugeordnet sein, damit isUserInRole den Wert "true" zurückgibt.

    • Geben Sie das Flag deny-uncovered-http-methods in den web.xml-Dateien an.
      Wenn das Element deny-uncovered-http-methods in der Datei web.xml angegeben ist, weist der Container alle ungeschützten HTTP-Methoden, die nicht in der kombinierten Integritätsbedingung für die Sicherheit aufgezählt sind, für ein URL-Muster, das am besten mit dem Anforderungs-URL übereinstimmt, zurück. Es wird ein Statuscode des Typs 403 (SC_FORBIDDEN) zurückgegeben. Beispiel:
      <servlet-mapping id="ServletMapping_1">
      		<servlet-name>MyServlet</servlet-name>
      		<url-pattern>/MyURLPattern</url-pattern>
      </servlet-mapping>
      
      <deny-uncovered-http-methods/>
      
      <!-- SECURITY CONSTRAINTS -->
      <security-constraint id="SecurityConstraint_1">
      		<web-resource-collection id="WebResourceCollection_1">
      			<web-resource-name>Protected with Employee or Manager roles</web-resource-name>
      			<url-pattern>/MyURLPattern</url-pattern>
      			<http-method>GET</http-method>
      			<http-method>POST</http-method>
      		</web-resource-collection>
      		<auth-constraint id="AuthConstraint_1">
      			<role-name>Employee</role-name>
      			<role-name>Manager</role-name>
      		</auth-constraint>
      </security-constraint>
      Wenn das Element deny-uncovered-http-methods in der Datei web.xml angegeben ist, wird für jedes URL-Muster in jedem Servlet eine Nachricht in der Datei messages.log protokolliert, in der die nicht gesicherten Methoden aufgeführt und mit dem Hinweis versehen sind, dass sie ungeschützt und nicht zugänglich sind. Beispiel:
      Für die
      URL MyURLPattern im Servlet MyServlet sind die folgenden HTTP-Methoden ungesichert und nicht zugänglich:
      DELETE OPTIONS HEAD PUT TRACE
      Wenn das Element deny-uncovered-http-methods in der Datei web.xml nicht angegeben ist, wird für jedes URL-Muster in jedem Servlet eine Nachricht in der Datei messages.log protokolliert, in der die nicht gesicherten Methoden aufgeführt und mit dem Hinweis versehen sind, dass sie ungeschützt und zugänglich sind. Beispiel:
      Für die
      URL MyURLPattern im Servlet MyServlet sind die folgenden HTTP-Methoden ungesichert und zugänglich:
      DELETE OPTIONS HEAD PUT TRACE

Ergebnisse

Sie haben Ihre Anwendung gesichert.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_servlet31
Dateiname:tsec_servlet31.html