Comment faire pour configurer le mappage d'url dans web.xml pour restreindre l'accès?

J'ai quelques pages à la structure suivante.

--Project
  |---WebContect
      |----Admin/*
      |----Author/* 
      |----Readonly/* 
      |----Index.jsp

Je veux empêcher l'utilisateur d'accéder à des Pages sous Admin,Author et Readonly. Je ne veux pas que quiconque d'accéder à ces pages. Et si quelqu'un essaie de le faire, devraient être redirigé vers index.jsp.

La solution la plus simple que de venir dans mon esprit, c'est à l'aide d'un Filter, mais j'essaie de savoir si il est possible de le faire à l'aide de web.xml.

Ou en d'autres termes je veux autoriser l'accès de l'indice.jsp " seulement, indépendamment du rôle ou de l'autorisation.

OriginalL'auteur Ashish Agarwal | 2012-06-29

  1. 15

    Si vous voulez que personne ne est en mesure d'accéder à ces pages directement, il suffit de les placer dans /WEB-INF dossier. 

    Project
 `-- WebContect
      |-- WEB-INF
      |    |-- Admin
      |    |-- Author
      |    `-- Readonly
      `-- Index.jsp

    De cette façon, les pages ne sont pas accessibles au public, mais seulement par une servlet qui effectue de l'avant. Lorsque l'utilisateur tente d'accéder directement, tout ce qu'il va obtenir est une erreur HTTP 404.

    Une alternative consiste à configurer un rôle moins <security-constraint>.

    <security-constraint>
    <display-name>Restrict direct access to certain folders</display-name>
    <web-resource-collection>
        <web-resource-name>Restricted folders</web-resource-name>
        <url-pattern>/Admin/*</url-pattern>
        <url-pattern>/Author/*</url-pattern>
        <url-pattern>/Readonly/*</url-pattern>
    </web-resource-collection>
    <auth-constraint />
</security-constraint>

    Lorsque l'utilisateur tente d'accéder à eux, tout ce qu'il va obtenir est une erreur HTTP 403.

    De toute façon, il n'est pas possible de rediriger l'utilisateur final de index.jsp de cette façon. Seulement un Filter peut le faire. Vous pourrait configurer le index.jsp comme page d'erreur emplacement pour 404 ou 403

    <error-page>
    <error-code>404</error-code>
    <location>/index.jsp</location>
</error-page>

    Mais ce serait de couvrir tous 404 ou 403), pas sûr si c'est ce que vous voulez.

    D'accord avec vous, la manipulation 404 avec l'index.jsp serait une mauvaise Idée.Je dirais même heureux, si je suis capable de réaliser la 1ère partie seulement.
    Alors je pense que garder un 404 est tout simplement parfait. Pourquoi l'utilisateur final uniquement être redirigé vers la page d'index pour seulement un ensemble spécifique d'Url à laquelle l'utilisateur final ne devrait même pas être au courant? Avez-vous de tous les liens quelque part autour du web qui pointe vers restreint Url? Eh bien, alors vous vraiment ne peut pas aller dans un filtre pour que. Assurez-vous que le filtre effectue une redirection 301, pas une redirection 302, de cette façon searchbots va supprimer l'ancienne URL de l'index.
    D'accord, l'utilisateur final doit être conscient de tout restreint url qu'il essaie d'accès. Deuxièmement, aucun des lien a disparu encore public, donc, votre point rend la scène

    OriginalL'auteur BalusC

  2. 0

    vous avez essayer ? (exemple pour le mappage d'url)

    <security-constraint>   
                <web-resource-collection>   
                        <web-resource-name>Protected Area</web-resource-name>   
                        <url-pattern>/*</url-pattern>   
                </web-resource-collection>   

                <auth-constraint>   
<--! These are the groups in AD -->   
                        <role-name>Engineering</role-name>   
                        <role-name>Migration Expert</role-name>   
                        <role-name>Developers</role-name>   

                </auth-constraint>   
        </security-constraint>   

  <security-constraint>   
   <web-resource-collection>   
      <url-pattern>/update/*</url-pattern>   
   </web-resource-collection>   
  </security-constraint>   

        <login-config>   
                <auth-method>BASIC</auth-method>   
                <realm-name>Services Portal</realm-name>   
        </login-config>
    Comment cette aide?
    Désolé, je hae trouvé un exemple ici avec l'échantillon de contrôle et d'authentification dans le mappage d'url... j'ai essayer de l'aider. coderanch.com/t/584071/Tomcat/Exclude-url-authorized-access-web
    Pourquoi êtes-vous copypasting les extraits que vous avez trouvé dans Google alors que vous êtes de ne pas comprendre du tout ce que vous êtes réellement de réponse? Il suffit de répondre à des questions auxquelles vous pouvez répondre du haut de la tête et peut expliquer son fonctionnement en détail.
    désolé, votre droit.

    OriginalL'auteur Mehdi Bugnard

  3. 0

    si vous voulez grand accès à des pages/dossiers d'autorisation de rôle, vous devez avoir un security-constraint dans votre web-xml fichier

      <security-constraint>
    <web-resource-collection>
      <web-resource-name>DESC_OF_FOLDER</web-resource-name>
      <url-pattern>/users/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
      <role-name>REGISTERED_USER_ROLE</role-name>
    </auth-constraint>
  </security-constraint>

    Le rôle peut être acquis par le présent code, si vous êtes en utilisant la norme d'authentification Jaas

            if ((request.getUserPrincipal().getName()) != null) {
            String userName = request.getUserPrincipal().getName().trim();
            .....

            if (request.isUserInRole("REGISTERED_USER_ROLE")) {
                .....
            } 
         }

    Espère que cette aide

    Mise à JOUR

    Et pour la redirection vers la page de connexion, vous devriez avoir aussi quelque chose de ce genre dans l'web.xml

    <form-login-config>
  <form-login-page>/login.jsp</form-login-page>
  <form-error-page>/error.jsp</form-error-page>
</form-login-config>

    OriginalL'auteur MaVRoSCy