上下文根上的 Web.xml 安全约束不适用

Question

我有一个使用 web.xml 来配置其安全性的 java webapp：

<security-constraint>
    <web-resource-collection>
        <web-resource-name>webPages</web-resource-name>
        <description>All web resources</description>
        <url-pattern></url-pattern>
        <url-pattern>/admin/*</url-pattern>
        <http-method>POST</http-method>
        <http-method>GET</http-method>
    </web-resource-collection>
    <auth-constraint>
        <role-name>admins</role-name>
    </auth-constraint>
    <user-data-constraint>
        <description>SSL not required</description>
        <transport-guarantee>NONE</transport-guarantee>
    </user-data-constraint>
</security-constraint>

我希望 /admin/* 下的所有页面都受到保护，这很有效。用户正确地首先看到一个登录屏幕，然后被重定向到原始请求的页面。

我还希望我的上下文根受到保护：http://host:port/context/ 但是，当我配置模式 <url-pattern></url-pattern> 并向根发出请求时，我的 java 控制器开始工作并显示视图，而用户从未看到登录屏幕。为什么这种模式适用于 <servlet-mapping>（将请求映射到 spring servlet）之类的东西，而不是作为安全约束？

我在 chrome 和 firefox 中都尝试过，并多次重启。

Answer 1

您可以尝试白名单的方法，这意味着只允许访问公共资源。

Here is a better answer 以示例为例，但在您的情况下应该是这样的：

<security-constraint>
  <web-resource-collection>
    <web-resource-name>webPages</web-resource-name>
    <description>All web resources</description>
    <url-pattern>/</url-pattern>
    <http-method>POST</http-method>
    <http-method>GET</http-method>
  </web-resource-collection>
  <auth-constraint>
    <role-name>admins</role-name>
  </auth-constraint>
  <user-data-constraint>
    <description>SSL not required</description>
    <transport-guarantee>NONE</transport-guarantee>
  </user-data-constraint>
</security-constraint>
<security-constraint>   
  <web-resource-collection>
    <web-resource-name>Public Resources</web-resource-name>
    <url-pattern>/public/*</url-pattern>
    <url-pattern>/alsopublic</url-pattern>
    <url-pattern>...an so on...</url-pattern>
  </web-resource-collection>  
  <!-- to given public access don't set auth-constraint-->
</security-constraint>

编辑： 参考servlet 3 specification