tomcat:目录资源安全

Posted

技术标签:

【中文标题】tomcat:目录资源安全【英文标题】:tomcat: directory resource security 【发布时间】:2013-01-15 21:53:15 【问题描述】:

我有一个小问题:

Tomcat 在 windows server 2008 上运行。有一个本地目录:D:\archive。 该目录包含大约 40000 个 pdf 文件。

该应用程序是一个搜索实用程序,旨在提供此目录中的任何 pdf 作为下载文件。 Tomcat 绑定到活动目录 (JNDIRealm)。该目录在 server.xml 中使用:

<Context docBase="D:\archive" path="/archive"></Context>

应用程序本身部署为 /PDFDownload,受 BASIC 身份验证保护。

如何使用相同的 ldap 绑定来保护 /archive ? 我已经用谷歌搜索了很多,我能找到的只是应用程序上下文安全性或在 tomcat 前使用 apache 的示例(如果这是一个选项,我将如何将 apache 绑定到活动目录?)

【问题讨论】:

不错,以前没听过:> 在 apache 中使用 ldap 进行身份验证有什么问题?互联网上似乎有很多关于它的文档 【参考方案1】:

编写一个简单的 DownloadServlet,从 D:\archive 读取文件并提供 PDF 文件下载。

看看这个问题:Implementing a simple file download servlet

更多示例代码http://www.coderanch.com/t/366358/Servlets/java/File-download-servlet

【讨论】:

因此我们必须重写应用程序,他们不会为此付费,所以这不是一个选择。我会尝试将apache绑定到AD并在tomcat前面运行它。没想到这是可能的。感谢 farzad 和 gaborsch。 你也可以在Tomcat之前绑定同一个Apache Httpd。【参考方案2】:

我们通过将 WEB-INF 目录添加到 D:\archive 并在其中复制默认的 web.xml 来解决它。然后我们将安全约束添加到复制的 web.xml 中,现在该目录受到保护。感谢所有花时间阅读并解决此问题的人。

【讨论】:

以上是关于tomcat:目录资源安全的主要内容,如果未能解决你的问题,请参考以下文章

怎样禁止访问tomcat目录下的某些文件??

Tomcat安全加固

tomcat安全及性能调整

linux下tomcat安全配置

tomcat笔记

tomcat笔记