Contraintes de sécurité dans les applications Web
Les contraintes de sécurité déterminent comment le contenu Web doit être protégé.
Ces propriétés associent des contraintes de sécurité
à une ou plusieurs collections de ressources Web. Une contrainte se compose d'une collection de ressources Web, d'une
contrainte d'autorisation et d'une contrainte de données utilisateur.
- Une collection de ressources Web est un ensemble de ressources (masques d'URL) et de méthodes HTTP pour ces ressources. Toutes les requêtes contenant un chemin de requête correspondant au masque d'URL décrit dans la collection de ressources Web sont soumises à la contrainte. Si aucune méthode HTTP n'est spécifiée, la contrainte de sécurité s'applique à toutes les méthodes HTTP.
- Une contrainte d'autorisation est un ensemble de rôles dont les utilisateurs doivent disposer pour accéder aux ressources décrites par la collection de ressources Web. Si un utilisateur demandant l'accès à un URI (Uniform Resource Identifier) donné ne possède pas au moins l'un des rôles spécifiés dans la contrainte d'autorisation, il n'a pas accès à cette ressource.
- Une contrainte de données utilisateur indique que la couche transport du processus de communication du client ou du serveur doit garantir l'intégrité du contenu (pour empêcher les actions illégales lors du transfert) ou la confidentialité (pour empêcher la lecture lors du transfert).
Remarque : Cette édition de WebSphere Application Server prend en charge les
contraintes de sécurité définies dans la spécification Java™ Servlet 3.0
(JSR-315).
Cependant, si vous utilisez la méthode HTTP personnalisée, consultez les informations dans la rubrique consacrée aux propriétés personnalisées de sécurité. Lisez en particulier la section traitant de la propriété security.allowCustomHTTPMethods, dont l'utilisation diffère quelque peu de celle qui est prévue dans la spécification Java Servlet 3.0.