Tomcatとパスワード認証

　Webアプリケーション上で特定のURL(コンテキストパス) にアクセスするためにパスワード認証を行わせることができます。 認証ページの提供の仕方には、大きく次の2つがあります。

• Basic認証。Apacheのhtpasswdを使った場合と同様に、 各ブラウザ独自の(固定の形をした)ユーザ名とパスワードを入力できるダイアログが出てきます。
• FORM認証。Webアプリケーションの開発者がログインのページとリトライ (認証が失敗したとき表示するページ)をHTMLで自由に記述できます。

• MemoryRealm。サーブレットコンテナ側のどこかにXML形式でユーザ名とパスワードを記述しておき、 コンテナが起動するときにこれを読み込んでメモリ上で覚えておく方法です。
• JDBCRealm。ユーザ名とパスワードをRDBMSのテーブルに持たせておき、 認証の度にJDBCを使って問い合わせる方法です。
• JNDIRealm。LDAPなどのディレクトリサーバに問い合わせる方法です。

Basic認証の記述の仕方

　特定のURLにアクセスするのにBasic認証をかけたい場合は、 それを含むアプリケーションのweb.xmlに次のように書きます。

<?xml version="1.0" encoding="Shift_JIS"?> <!DOCTYPE web-app PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" "http://java.sun.com/dtd/web-app_2_3.dtd"> <web-app> <security-constraint> <display-name>Example Security Constraint</display-name> <web-resource-collection> <web-resource-name>Protected Area</web-resource-name> <url-pattern>*.html</url-pattern> <url-pattern>*.jsp</url-pattern> <http-method>DELETE</http-method> <http-method>GET</http-method> <http-method>POST</http-method> <http-method>PUT</http-method> </web-resource-collection> <auth-constraint> <role-name>tomcat</role-name> </auth-constraint> </security-constraint> <login-config> <auth-method>BASIC</auth-method> <realm-name>BASIC Authentication</realm-name> </login-config> </web-app>

FORM認証の記述の仕方

　一方FORM認証の場合のweb.xmlは次のようになります。

<?xml version="1.0" encoding="Shift_JIS"?> <!DOCTYPE web-app PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" "http://java.sun.com/dtd/web-app_2_3.dtd"> <web-app> <security-constraint> <display-name>Example Security Constraint</display-name> <web-resource-collection> <web-resource-name>Protected Area</web-resource-name> <url-pattern>*.html</url-pattern> <url-pattern>*.jsp</url-pattern> <http-method>DELETE</http-method> <http-method>GET</http-method> <http-method>POST</http-method> <http-method>PUT</http-method> </web-resource-collection> <auth-constraint> <role-name>tomcat</role-name> </auth-constraint> </security-constraint> <!-- Default login configuration uses form-based authentication --> <login-config> <auth-method>FORM</auth-method> <realm-name>Form-Based Authentication</realm-name> <form-login-config> <form-login-page>/sec/login.jsp</form-login-page> <form-error-page>/sec/error.jsp</form-error-page> </form-login-config> </login-config> </web-app>

●FORM認証のログインページ
認証フォームを出すJSP文書(上の設定でいうlogin.jsp)です。 各INPUTタグの名前ですが、それぞれ「j_username」「j_password」で固定です。

<%@ page language="java" contentType="text/html;charset=Shift_JIS" %> <html><body> このページにアクセスするにはログインが必要です。 <form action="<%= response.encodeURL("j_security_check") %>" method="POST"> ユーザ名： <input type="text" name="j_username" maxlength="8" size="12"><br> パスワード： <input type="password" name="j_password" maxlength="8" size="12"><br><br> <input type="submit" value="ログイン"> </form> </body></html>

●FORM認証のエラーページ
そして、認証に失敗したときに表示するページ、 上の設定でいうerror.jspです。

<%@ page language="java" contentType="text/html;charset=Shift_JIS" %> <html><body> おおっと！だめっす。<br><a href="../hello.html">もう一度試す</a><br> </body></html>

サーブレットコンテナのMemoryRealmの設定

　次にMemoryRealmを実現するために、 サーブレットコンテナのこのアプリケーションの設定に記述を加える必要があります。 この書き方はサーブレットコンテナによって異なります。 これはJakarta Tomcat 4.1.10と4.1.24で試した例で、 $CATALINA_HOME/conf/server.xmlのアプリケーションの定義部分に、 下のようにRealmタグを追加します。

<Context path="/app1" docBase="/usr/watasi/tomcat/app1" debug="0" reloadable="true"> <Logger className="org.apache.catalina.logger.FileLogger" prefix="testapp." suffix=".txt" timestamp="true"/> <Realm className="org.apache.catalina.realm.MemoryRealm" pathname="conf/tomcat-users.xml"/> </Context>

<!-- NOTE: By default, no user is included in the "manager" role required to operate the "/manager" web application. If you wish to use this app, you must define such a user - the username and password are arbitrary. --> <tomcat-users> <user name="tomcat" password="tomcat" roles="tomcat" /> <user name="role1" password="tomcat" roles="role1" /> <user name="both" password="tomcat" roles="tomcat,role1" /> </tomcat-users>

●自動的にSSLに移行する
　Basic認証もFORM認証も、 入力されたパスワードはネットワーク上をそのまま又は比較的簡単に解読可能な形で流れるので、 盗聴には弱いという欠点があります。 そこで、認証が必要になるURLへのアクセスにはSSLも一緒に導入ということで、 認証時に自動的にSSL対応に移行する設定も可能です。

<?xml version="1.0" encoding="Shift_JIS"?> <!DOCTYPE web-app PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" "http://java.sun.com/dtd/web-app_2_3.dtd"> <web-app> <security-constraint> <display-name>Example Security Constraint</display-name> <web-resource-collection> <web-resource-name>Protected Area</web-resource-name> <url-pattern>*.html</url-pattern> <url-pattern>*.jsp</url-pattern> <http-method>DELETE</http-method> <http-method>GET</http-method> <http-method>POST</http-method> <http-method>PUT</http-method> </web-resource-collection> <auth-constraint> <role-name>tomcat</role-name> </auth-constraint> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint> <!-- Default login configuration uses form-based authentication --> <login-config> <auth-method>FORM</auth-method> <realm-name>Form-Based Authentication</realm-name> <form-login-config> <form-login-page>/sec/login.jsp</form-login-page> <form-error-page>/sec/error.jsp</form-error-page> </form-login-config> </login-config> </web-app>

(first uploaded 2002/09/21 last updated 2003/07/09, URANO398)