禁用不安全的http方式-转载

川长思鸟来 2022-12-29 14:19 105阅读 0赞

网上搜了好多禁用http请求的方法，都是介绍tomcat容器下的相关配置，但是把web项目放到weblogic容器下会报错，无论如何也启动不起来，费了一番功夫找到一篇文章，问题解决

初次使用Weblogic，因为之前是在Jboss或tomcat上部署的工程，运行正常，但是在weblogic上安装部署的时候，就出现了一个常见的问题：如下

<2014-1-7 下午02时43分15秒 CST> <Error> <J2EE> <BEA-160197> <Unable to load descriptor D:\otpcenter/WEB-INF/web.xml of module otpcenter. The error is weblogic.descriptor.DescriptorException: VALIDATION PROBLEMS WERE FOUND

意思是无法加载web.xml文件，原因是未通过验证，查了好多网上解决问题的办法，首先是把web.xml头部的web-app改为

<web-app xmlns=“http://java.sun.com/xml/ns/j2ee”

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"
    
     version="2.4">

由于weblogic对web.xml的检查比较严格，故web-app中的元素要按照一定的顺序来写，顺序如下：

("?“表示该标签出现次数最多为1，”\*"表示可以多次出现。但是如果出现，必须严格按照上面的顺利出现)

1， icon?

2， display-name?

3，description?

4， distributable?

5， context-param\*

6， filter\*

7， filter-mapping\*

8， listener\*

9，servlet\*

10，servlet-mapping\*

11，session-config?

12，mime-mapping\*

13，welcome-file-list?

14，error-page\*

15，taglib\*

16，resource-env-ref\*

17，resource-ref\*

18，security-constraint\*

19，login-config? 19

20，security-role\*

21，env-entry\*

22，ejb-ref\*

23，ejb-local-ref

其中要注意的是security-constraint【】标签，我出错的原因就是在把所有标签顺序改好后，这个标签写的不对，下面是我web.xml中security-constraint标签的正确写法

<web-resource-collection>
    
            <web-resource-name>baseproject</web-resource-name>
    
            <url-pattern>/*</url-pattern>
    
            <http-method>PUT</http-method>
    
            <http-method>DELETE</http-method>
    
            <http-method>HEAD</http-method>
    
            <http-method>OPTIONS</http-method>
    
            <http-method>TRACE</http-method>
    
        </web-resource-collection>
    
        <auth-constraint>
    
            <description>baseproject</description>
    
            <role-name>All Role</role-name>
    
        </auth-constraint>
    
     </security-constraint>
    
     <login-config>
    
         <auth-method>BASIC</auth-method>
    
     </login-config>

security-constriaint元素的用途是用来指示服务器使用何种验证方法了.此元素在web.xml中应该出现在login-config的前面。它包含四个可能的子元素，分别是：web-resource-collection、auth-constraint、user-data-constraint和display-name。下面各小节对它们进行介绍。

1.  web-resource-collection  
    此元素确定应该保护的资源,所有security-constraint元素都必须包含至少一个web- resource-collection项.此元素由一个给出任意标识名称的web-resource-name元素、一个确定应该保护URL 的url-pattern元素、一个指出此保护所适用的HTTP命令（GET、POST等，缺省为所有方法）的http-method元素和一个提供资料的可选description元素组成。  
    重要的是应该注意到，url-pattern仅适用于直接访问这些资源的客户机。特别是，它不适合于通过MVC体系结构利用RequestDispatcher来访问的页面，或者不适合于利用类似jsp:forward的手段来访问的页面。
2.  auth-constraint  
    元素却指出哪些用户应该具有受保护资源的访问权。此元素应该包含一个或多个标识具有访问权限的用户类别role-name元素，以及包含（可选）一个描述角色的description元素。
3.  user-data-constraint  
    这个可选的元素指出在访问相关资源时使用任何传输层保护。它必须包含一个transport-guarantee子元素（合法值为NONE、INTEGRAL或CONFIDENTIAL），并且可选地包含一个description元素。transport-guarantee为NONE值将对所用的通讯协议不加限制。INTEGRAL值表示数据必须以一种防止截取它的人阅读它的方式传送。虽然原理上（并且在未来的HTTP版本中），在INTEGRAL和CONFIDENTIAL之间可能会有差别，但在当前实践中，他们都只是简单地要求用SSL。

4 四种认证类型：

Xml代码  
1.BASIC：HTTP规范，Base64  
2.  
3. …  
4.  
5. BASIC  
6.  
7. …  
8.  
9.  
10.DIGEST:HTTP规范，数据完整性强一些，但不是SSL  
11.  
12. …  
13.  
14. DIGEST  
15.  
16. …  
17.  
18.  
19.CLIENT-CERT：J2EE规范，数据完整性很强，公共钥匙（PKC）  
20.  
21. …  
22.  
23. CLIENT-CERT  
24.  
25. …  
26.  
BASIC：HTTP规范，Base64  
  
…  
  
BASIC  
  
…  
  
DIGEST:HTTP规范，数据完整性强一些，但不是SSL  
  
…  
  
DIGEST  
  
…  
  
CLIENT-CERT：J2EE规范，数据完整性很强，公共钥匙（PKC）  
  
…  
  
CLIENT-CERT  
  
…  
  
FORM：J2EE规范，数据完整性非常弱，没有加密，允许有定制的登陆界面。  
  
…  
  
FORM  
  
/login.html  
/error.jsp  
  
  
…

这里的 FORM 方式需要说明的是 登录页面的固定的元素:login.html  
Html代码  
1.  
2.  
3.  
4.  
5.  
6.  
7.  
8.  
9.

form 的action 必须是j\_security\_check, method="post", 用户名 name="j\_username" , 密码name="j\_password" 这些都是固定的元素