Configuration de la prise en charge de la fonction Java Servlet 3.1 pour la sécurité
WebSphere Application Server Traditional prend en charge toutes les mises à jour de sécurité définies dans la spécification Java™ Servlet 3.1.
Pourquoi et quand exécuter cette tâche
Bénéficiez des fonctions Java Servlet 3.1 sur WebSphere Application Server Traditional.
Procédure
- Ajoutez la fonction servlet-3.1 dans
le
fichier server.xml :
<feature>servlet-3.1</feature>
- Déterminez parmi les fonctionnalités suivantes de la
fonction
Java Servlet 3.1 celles
que vous voulez utiliser :
- Indiquez autocomplete=off dans le
formulaire de connexion.Lorsque vous utilisez HTML pour une page de connexion par formulaire, définissez la zone de passe sur autocomplete="off" afin de désactiver automatiquement le remplissage des mots de passe dans le navigateur Web. Par exemple :
<form method="POST" action="j_security_check"> <input type="text" name="j_username"> <input type="password" name="j_password" autocomplete="off"> </form>
- Indiquez la contrainte de sécurité d'authentification complète
(**).Le nom de rôle spécial ** indique tout utilisateur authentifié. Lorsque ** s'affiche dans une contrainte d'autorisation, si l'utilisateur est authentifié, cela signifie qu'il a accès aux méthodes qui sont indiquées dans la contrainte. Les utilisateurs n'ont pas à être mappés à ce rôle dans les liaisons d'applications. Par exemple :
<security-constraint id="SecurityConstraint_1"> <web-resource-collection id="WebResourceCollection_1"> <web-resource-name>Protected with ** role</web-resource-name> <url-pattern>/AnyAuthSecurityConstraint</url-pattern> <http-method>GET</http-method> <http-method>POST</http-method> </web-resource-collection> <auth-constraint id="AuthConstraint_1"> <role-name>**</role-name> </auth-constraint> </security-constraint>
Lorsque la méthode isUserInRole() est appelée avec un nom de rôle **, isUserInRole() renvoie true si l'utilisateur est authentifié. Si ** est un rôle défini dans la configuration d'un rôle de sécurité, il n'est pas traité comme le rôle utilisateur authentifié spécial. L'utilisateur doit être mappé à ce rôle dans les liaisons d'application afin que isUserInRole renvoie true.
- Spécifiez l'indicateur deny-uncovered-http-methods dans les fichiers web.xml.Si l'élément deny-uncovered-http-methods est spécifié au sein du fichier web.xml, le conteneur refuse les méthodes HTTP non couvertes qui ne sont pas énumérées dans la contrainte de sécurité combinée pour un masque d'URL qui correspond le mieux à l'URL de demande. L'état 403 (SC_FORBIDDEN) est renvoyé. Par exemple :
<servlet-mapping id="ServletMapping_1"> <servlet-name>MyServlet</servlet-name> <url-pattern>/MyURLPattern</url-pattern> </servlet-mapping> <deny-uncovered-http-methods/> <!-- SECURITY CONSTRAINTS --> <security-constraint id="SecurityConstraint_1"> <web-resource-collection id="WebResourceCollection_1"> <web-resource-name>Protected with Employee or Manager roles</web-resource-name> <url-pattern>/MyURLPattern</url-pattern> <http-method>GET</http-method> <http-method>POST</http-method> </web-resource-collection> <auth-constraint id="AuthConstraint_1"> <role-name>Employee</role-name> <role-name>Manager</role-name> </auth-constraint> </security-constraint>
Si l'élément deny-uncovered-http-methods est spécifié dans le fichier web.xml, un message est consigné dans le fichier messages.log pour chaque masque d'URL dans chaque servlet, ce qui indique pour les méthodes non couvertes avec une remarque que ces méthodes non couvertes ne sont pas protégées et accessibles. Par exemple :Pour l'URL MyURLPattern dans le servlet MyServlet, les méthodes HTTP suivantes ne sont pas couvertes et ne sont pas accessibles : DELETE OPTIONS HEAD PUT TRACE
Si l'élément deny-uncovered-http-methods n'est pas spécifié dans le fichier web.xml, un message est consigné dans le fichier messages.log pour chaque masque d'URL dans chaque servlet, ce qui indique pour les méthodes non couvertes avec une remarque que ces méthodes non couvertes ne sont pas protégées et accessibles. Par exemple :Pour l'URL MyURLPattern dans le servlet MyServlet, les méthodes HTTP suivantes ne sont pas couvertes et sont accessibles : DELETE OPTIONS HEAD PUT TRACE
- Indiquez autocomplete=off dans le
formulaire de connexion.
Résultats
Information associée:


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_servlet31
Nom du fichier : tsec_servlet31.html