标签：java authentication tomcat8 jaas

我在Tomcat 8.x Web服务器上使用JAAS和基于表单的Web身份验证.
在尝试登录时,用户被拒绝访问的原因有很多：

>用户名无效
>密码无效
>在数据库中没有帐户
>数据库中的帐户未激活
>数据库中的帐户没有必需的角色
>等……

在我的LoginModule中,我检查所有这些条件以及更多,如果不允许用户访问Web应用程序,则抛出LoginException.
JAAS似乎捕获抛出的LoginException,抛弃它,并将用户重定向到web.xml中指定的错误页面.

我花了几个小时的时间在谷歌上搜索,试图找到一种方法来获取登录异常的原因,但却出现空洞.

有没有办法让错误页面找出抛出LoginException的原因？

解决方法:

1. invalid username
2. invalid password

你不应该区分这两种情况.这样做会对攻击者造成信息泄露,一旦找到有效的用户名,就会减少搜索空间.您应该只报告“无效的用户名/密码组合”或类似内容.

3. doesn’t have account in database

这与(1)相同.

4. account in database is not active

如上所述,这也不应该被区分.

5. account in database doesn’t have required roles

这不是登录失败.当用户执行需要缺少角色的操作时,这将成为访问拒绝,或者导致用户界面不显示缺少角色的操作.

我将适当的JAAS错误传递给应用程序所采用的解决方案是将它们添加为Subject的公共凭据.

标签：java,authentication,tomcat8,jaas
来源： https://codeday.me/bug/20190522/1153440.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。