Как получить базовую аутентификацию, работающую в WebSphere?

Question

Хорошо, я запустил веб-сервис Java / Jersey на Tomcat с базовой аутентификацией, которая прекрасно работает. У меня есть разрешения, настроенные в файле web.xml моего проекта, а пользователи настроены в tomcat-users.xml на сервере. Прекрасно работает.
Проблема в том, что теперь я должен перенести этот проект в WebSphere, который не имеет ничего общего с простой реализацией базовой аутентификации.

Я видел этот вопрос: Websphere 6.1 и BASIC Authentication и посмотрел главу 7 из этого pdf, как и предлагалось, но мне не удается найти правильные настройки ( У меня нет опции с надписью «включить глобальную безопасность», как в большинстве методов), и я пытаюсь запустить свой проект, в то время как pdf очень специфичен для проекта.

Итак, чтобы четко задать мой вопрос, как проще всего включить базовую аутентификацию в WebSphere 6.1?

Answer 1

После написания всего этого ниже, я помню, я писал об этом для себя здесь:

WebSphere 6.1 и Аутентификация приложений

Как я понимаю, вы настроили свою сеть.xml правильно, таким образом:

     <security-role>
    <role-name>myrole</role-name>
  </security-role>

  <security-constraint>
    <web-resource-collection>
      <web-resource-name>mySec</web-resource-name>
      <url-pattern>/yourUrl</url-pattern>
      <http-method>DELETE</http-method>
      <http-method>GET</http-method>
      <http-method>POST</http-method>
      <http-method>PUT</http-method>
      <http-method>HEAD</http-method>
      <http-method>TRACE</http-method>
      <http-method>OPTIONS</http-method>
    </web-resource-collection>
    <auth-constraint>
      <role-name>myrole</role-name>
    </auth-constraint>
    <user-data-constraint>
      <description>SSL or MSSL not required</description>
      <transport-guarantee>NONE</transport-guarantee>
    </user-data-constraint>
  </security-constraint>

  <login-config>
    <auth-method>BASIC</auth-method>
    <realm-name>my login</realm-name>
  </login-config>

Если вы используете консоль администрирования, вы не утверждаете, что вы не так, перейдите на консоль:

http://localhost:9060/ibm/console

Затем войдите (если вынастройте административную безопасность)

Затем перейдите сюда

1. щелкните левой кнопкой мыши Безопасность
2. Безопасное администрирование, приложения и инфраструктура
3. Есть тогдараздел на странице «Безопасность приложения»
4. Установите флажок «Включить защиту приложения»
5. , нажмите «Применить», затем сохраните в основной конфигурации.

После этого у вас будет включена защита приложения.,Теперь вам нужно сопоставить пользователей вашего приложения с пользователями в веб-сфере.

Перейдите сюда

1. Элемент списка
2. Приложения> Приложения предприятия
3. Щелкните по вашему приложению
4. В разделе «Подробные свойства» вы увидите ссылку «Роль безопасности в сопоставлении пользователя / группы»
   , которую вы увидите только в том случае, если ваш файл web.xml настроен правильно
5. щелкните роль безопасности для сопоставления пользователя / группы
6. Выберите роли, которые вы хотите использовать для аутентификации
7. Нажмите для поиска пользователей или поиска групп
8. нажмитепоиск и выбор пользователей (которые настраиваются в вашей веб-сфере в меню «Пользователи и группы»
9. . Используйте стрелки, чтобы переместить выбранных пользователей / группы в правое поле
10. , нажмите кнопку ОК и сохраните в главной конфигурации..
11. перезагрузите сервер.

Для работы должна быть включена административная защита (безопасность самой Websphere).

WebSphere может быть сложным, но этоявляется мощным и способным.

Answer 2

Вы не должны перечислять http-методы. Это означает, что ограничение безопасности применяется ТОЛЬКО к этим методам и может быть обойдено с помощью так называемых методов «расширения», таких как метод JEFF. Просто удалите их, и ограничение будет применяться ко всему. Есть статья о фальсификации глагола http на https://www.aspectsecurity.com/research/aspsec_presentations/download-bypassing-web-authentication-and-authorization-with-http-verb-tampering/