базовая аутентификация на apache

Question

У меня есть веб-приложение java, которое использует Apache в качестве передней части Tomcat. У меня есть базовая конфигурация аутентификации в файле web.xml

<security-constraint> 
    <web-resource-collection> 
    <web-resource-name> 
    </web-resource-name> 
    <url-pattern>/secure/*</url-pattern> 
    </web-resource-collection> 
    <user-data-constraint> 
    <transport-guarantee>NONE</transport-guarantee> 
</user-data-constraint> 
<auth-constraint> 
    <role-name>user</role-name> 
</auth-constraint> 
</security-constraint> 
<login-config> 
    <auth-method>BASIC</auth-method> 
</login-config> 

Теперь я хочу, чтобы настроить эту конфигурацию на апач

Я создал пользователь файл в C: \ Program Files (x86) \ Apache2 \ каталог конф и добавил имя пользователя/пароль.

добавить эту строку в файл httpd.conf

<Location "/secure/*"> 
    AuthUserFile conf/users 
    AuthName "This is a protected area" 
    AuthType Basic 
    Require valid-user 
</Location> 

Когда я открываю приложение с браузером http://example.com/app/secure его доза не запрашивает аутентификацию. Какая доза здесь неправильная?

Answer 1

директива должна быть:

<Location "/app/secure/"> 

без *. Директива Location автоматически применяется к этому URL-адресу и всему под ним (/app/secure/myServlet, /app/secure/more/otherServlet и т. Д.).

Если вы хотите сопоставить образец в местоположении, вы должны использовать LocationMatch, но я думаю, что для вашего случая это не важно.

Обратите внимание, что строка Location должна быть целым путем, начиная с косой черты после домена. Поэтому, если ваш домен http://example.com/app/secure/, Location не является только /secure/, а скорее /app/secure/.

В качестве альтернативы, если вы на самом деле выполняется приложение с app/secure, а не app/secure/, вы должны удалить последнюю черту:

<Location "/app/secure"> 

/app/secure/ матчи /app/secure/something, но это не соответствует /app/secure. /app/secure соответствует /app/secure/something, но также и /app/secure.