IBM은 web.xml에서 보안을 무시했습니다.

Question

tomcat 웹 서버에 대한 웹 응용 프로그램이 있습니다. IBM websphere AS로 마이그레이션하고 싶지만 보안 문제가 있습니다. 전체 응용 프로그램 보안은 다음과 같이 web.xml 파일에 정의되어

<welcome-file-list> 
    <welcome-file>index.jsp</welcome-file> 
</welcome-file-list> 

<security-constraint> 
    <web-resource-collection> 
     <web-resource-name>Dynamic pages</web-resource-name> 
     <url-pattern>/*</url-pattern> 
    </web-resource-collection> 
    <auth-constraint> 
     <description>access.</description> 
     <role-name>user</role-name> 
    </auth-constraint> 
</security-constraint> 

<login-config id="LoginConfig_1"> 
    <auth-method>FORM</auth-method> 
    <realm-name>SecureRealm</realm-name> 
    <form-login-config id="FormLoginConfig_1"> 
     <form-login-page>/login.jsp</form-login-page> 
     <form-error-page>/loginFail.jsp</form-error-page> 
    </form-login-config> 
</login-config> 

<security-role> 
    <description>User of the application.</description> 
    <role-name>user</role-name> 
</security-role> 

스피어는이 모든 보안 기능을 무시하고 나를 로그인 페이지를 표시하지 않고 웹 응용 프로그램에서 모든 페이지에 액세스 할 수 있습니다. 내가 login.jsp 수동으로 이동하고 올바른 암호 메신저 응용 프로그램에 전달 된 넣어 있지만 null (로그인 없음) 반환하기 때문에 getUserPrincipal() 실패합니다. 또한 내가 loginFail.jsp로 잘못된 암호를 보낸 경우에도 마찬가지입니다.
서버 로그에도 오류가 없습니다.
무엇이 잘못 되었나요? 아니면 바람둥이와 다른가요?
도움 주셔서 감사합니다.

Answer 1

WebSphere 보안을 사용하지 못할 수 있습니다. 그렇지 않은 경우 web.xml 설정이 무시됩니다.

관리 콘솔에서 보안 -> 글로벌 보안 섹션을 확인하십시오. '응용 프로그램 보안 사용'이 선택되어 있는지 확인하십시오.

'레벨'(노드, 서버 등)별로 다른 보안 설정을 만들 수 있습니다. 보안 -> 보안 도메인에 정의 된 여러 도메인이있는 경우 webapp이 실행중인 응용 프로그램 서버에 올바른 도메인 집합이 설정되어 있는지 확인하십시오.