Archivo .htpasswd en Tomcat

Cehdhe · #1 (**permalink**) 24/07/2011, 14:31

En Apache existe un archivo que contiene los nombres y contraseñas de los usuarios que utilizarán el Servidor Web de acceso privilegiado (.htpasswd) El archivo ayuda definir el acceso por directorio. El archivo .htpasswd esta bajo el directorio que se intenta proteger con contraseña.
Mi pregunta es: ¿Existe un archivo similar en Tomcat? Si no existe, ¿como puedo proteger directorios en Tomcat?

Apolo · #2 (**permalink**) 24/07/2011, 21:54

Hola,

Si estás en un sistema tipo Linux y corriendo también Apache, se supone que podrás usar de todas maneras .htaccess y .htpasswd. Por ejemplo:

http://www.novia.net/~tomcat/HowTo/password.html
(en inglés)

Si estamos hablando de sólo Tomcat, prueba con Tomcat Realms. Por ejemplo:

http://www.jguru.com/faq/view.jsp?EID=1082911
http://linux-sxs.org/internet_serving/c619.html
http://onjava.com/pub/a/onjava/2001/07/24/tomcat.html
http://www.forodejava.com
http://www.thatsjava.com/java-web-tier-apis/29588/

Isakmtz · #3 (**permalink**) 25/07/2011, 08:29

Estoy de acuerdo con Apolo, utiliza los Realms de Tomcat. Los Realms son como una Base de datos de tus usuarios y passwords, los usuarios pueden pertenecer a un determinado role, de esta manera puedes implementar la autentificacion de usuarios.

Cehdhe · #4 (**permalink**) 29/07/2011, 09:43

Ya lei sobre los Realms de Tomcat, también pude ver que en la carpeta \conf esta el archivo tomcat-users.xml, pude agregar un usuario, su password y el grupo al que pertence (role)

Pero no puedo indicarle al Tomcat, que mi carpeta esta bajo seguridad, ¿Como lo implemento?

Isakmtz · #5 (**permalink**) 03/08/2011, 21:14

En la carpeta en donde esta tu aplicacion, debes buscar el archivo web.xml, en ese archivo debes buscar la etiqueta <security-constraint>

Al editar esa etiqueta, puedes especificar los roles y que paginas quedaran restringidas.

Cehdhe · #6 (**permalink**) 11/08/2011, 20:48

Les comento como le hice para proteger mi carpeta.
El archivo web.xml lo encontré en la carpeta WEB-INF, en ese archivo coloque el siguiente código:

Código XML:

Ver original<web-app xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" version="2.5">
  <description>Servlet and JSP Examples.</description> 
  <display-name>Servlet and JSP Examples</display-name>
<security-constraint>
  <display-name>Security Constraint para Validar</display-name> 
 <web-resource-collection>
  <web-resource-name>Protected Area</web-resource-name> 
 <!--  Define the context-relative URL(s) to be protected --> 
  <url-pattern>/jsp/validar/*</url-pattern> 
 <!--  If you list http methods, only those methods are protected --> 
  <http-method>DELETE</http-method> 
  <http-method>GET</http-method> 
  <http-method>POST</http-method> 
  <http-method>PUT</http-method> 
  </web-resource-collection>
 <auth-constraint>
 <!--  Anyone with one of the listed roles may access this area --> 
  <role-name>tomcat</role-name> 
  <role-name>EsteRoleNombre</role-name> 
  </auth-constraint>
</security-constraint>
<!--  Default login configuration uses form-based authentication --> 
 <login-config>
  <auth-method>FORM</auth-method> 
  <realm-name>Example Form-Based Authentication Area</realm-name> 
 <form-login-config>
 <form-login-page>/jsp/validar/login.jsp</form-login-page> 
  <form-error-page>/jsp/validar/error.jsp</form-error-page> 
  </form-login-config>
</login-config>
</web-app>

Utilice como plantilla el ejemplo que esta en: examples\jsp\security\protected