![Webアプリ開発エンジニアのための技術情報サイト[テックスコア]](/common/img/description.gif){kind=small}
サーブレット 10章 アクセス制限
- 10.1. J2EEのアクセス制限機能
- 10.2. <security-role>
- 10.3. <security-constraint>
- 10.4. <login-config>
- 10.5. Tomcatでの設定
10.4. <login-config>
アクセス制限に関するweb.xmlの設定は、<login-config>の設定で終了です。<login-config>は制限されたWebリソースへアクセスするための認証方法を定義するものです。
<login-config> <auth-method>BASIC</auth-method> <realm-name>admin page</realm-name> </login-config>
<login-config>は<web-app>内で1つしか定義できません。つまり1つのWebアプリケーション内で指定できる認証方法は、1つであることを意味しています。
<login-config>内で必ず必要なタグは、<auth-method>のみです。<auth-method>で以下の中から1つ認証方法を指定します。
| BASIC | HTTP BASIC認証を使用する。 |
| FORM | HTMLのformを利用した認証を使用する |
| DIGEST | HTTP DIGEST認証を使用する。BASIC認証との違いは、ユーザ名とパスワードが暗号化されているかされていないかの違い。DIGEST認証では暗号化される。 |
| CLIENT-CERT | SSL(HTTPS)で使用されるデジタル証明書でクライアントを認証する。 |
ここでは、最も基本的なBASICを指定するものとします。BASIC認証は、ほとんどのWebクライアントでサポートされています。他の方式については、後の章で説明します。
<realm-name>はBASIC認証を指定した場合に有効となるタグです。BASIC認証を用いると、制限されたページにアクセスした際、以下のようなダイアログで認証を求められますが、その「領域」の部分に表示される名前を指定するものです。
これでweb.xmlにおける設定は終了です。最後にTomcatの設定を行い、アクセス制限機能を動作するようにします。
(実習課題3)
実習課題2のWebアプリケーションの認証方式として、BASIC認証を指定しなさい。
