1.web容器需要支持还没有认证的客户机访问web资源.
2.应用代码也许是基于访问者身份的数据和signon的唯一处理者.
在这些情况下,web应用配置描述,可以指定一个run-as元素,容器必须根据定义在run-as元素内的安全角色的名字,将调用者的安全身份传播到EJB层.
该安全角色的名字必须是web应用定义的安全角色中的一个.
因为web容器作为J2EE平台的一部份运行,调用在相同或不同J2EE应用中的EJB组件,run-as元素都必须被支持.
12.8 指定安全约束
安全约束是给与网络内容以预期保护的一种声明性方式。包含以下元素:
.web资源集合 .授权约束
.用户数据约束
web资源集合是一系列的URL范式和描述需要保护的一系列资源的HTTP方法。所有路径匹配URL范式的请求遵循此约束。
容器匹配预定义与安全约束内的URL范式的短发与11.1是一致的。
授权限制是一套安全角色,访问网资源集合描述的资源的用户必须属于其中之一。如果用户不是被允许角色的一部分,用户被拒绝访问该资源. 如果授权约束为定义角色,那么没有用户可以访问web应用中被此安全约束定义的这一部分.
用户数据描述了对客户机服务器传输层的需求.此需求的目的是内容一致性(防止通信过程中的破坏)或是机密性(防止传输中被窃听).容器必须至少使用SSL响应标志为 integral或confidential.的请求.如果原始请求的协议是HTTP,容器必须重新导向客户机到HTTPS端口.
12.9 默认策略
默认情况下,访问资源无需认证,只有在配置描述中指定了的才需要认证. (完)