Servlet vor Browser URL-Direktzugriff schützen

ifconfig · 5. Jun 2011

Hallo,

ich will meine Servlets vor einem direkten Aufruf per Browser-URL schützen, sodass diese Servlets nur von meinem Controller-Servlet aufgerufen werden können. Somit will ich erreichen dass nur eingeloggte User diese Servlets nutzen können.
Im Controller-Servlet will ich bspw. das Upload-Servlet dann so aufrufen:

Java:

RequestDispatcher dispatcher = request.getRequestDispatcher("upload");
dispatcher.forward(request, response);

Aber leider ist dieses Uploadservlet auch direkt im Browser aufrufbar per localhist:8080/app/upload
und genau dies will ich verhindern. Ich habe per Google nur rausgefunden dass man da in der web.xml irgendwas einstellen muss, aber ich bin da nicht weitergekommen.
Könnt ihr mir da bitte helfen?

Grüße
ifconfig

tagedieb · 5. Jun 2011

Security in Web Applicationen ist ein sehr breites Thema mit unterschiedlichen Lösungen.

Das erste was mir auffällt ist wenn das UploadServlet nicht direkt aus dem Browser aufgerufen werden soll wieso überhaupt ein Mapping für dieses Servlet definieren? Du kannst das Servlet auch via Namen aufrufen: Java sample code - Forward to a servlet by name - Source code examples

Im web.xml kann man natuerlich Resourcen (URLs) schützen. Allerdings nur wenn der Server Zugriff auf das Userregistry (LDAP, DB oder Files) hat. Dann kann man auch via JEE Security Userberechtigungen pruefen (

Code:

request.isUserInRole(..)

)

Das einfachste ist aus meiner Sicht die Verwendung des Spring Security Filters, da dies wesentlich einfacher ist als die JEE Security. Dies entspricht auch eher deiner Lösung mit deinem Controllerservlet. Dafür sollte man eh lieber einen Filter einsetzen.

ifconfig · 5. Jun 2011

Hi Tagedieb,

danke, dein erster Vorschlag gefällt mir spontan am besten weil am einfachsten

Dann lass ich das Mapping in der web.xml einfach weg und definiere nur das Servlet selber wenn ich das richtig verstehe.
Werd ich ausprobieren so.
Die anderen beiden Lösungen klingen etwas umfangreicher, da werd ich mich aber auch mal damit beschäftigen.

Meine aktuelle Authorisierungs-Behelfslösung: direkt in den abzusichernden Servlets frage ich zuerst ab, ob sie Session des Users auch ein Attribut login mit dem Value=true gesetzt hat. Nur dann wird das Servlet ausgeführt, ansonsten wird der User auf die Loginseite redirected. Funktioniert auch, kommt mir aber ein bisschen redundant vor.
Was haltet ihr von meiner Umsetzung?

Grüße
ifconfig

tagedieb · 5. Jun 2011

Spring Security funktioniert aehnlich, aber benutzt einen Filter anstatt eines Servlets. Der Vorteil den Filter kann man jedem Servlet vorlagern. Da kann man auch z.B. das Upload Servlet direkt ansprechen und es ist doch durch den Filter geschuetzt

	Titel	Forum	Antworten	Datum
E	Java Servlet doPost request, Mehrere Parameter mit demselben Namen aus Tabellenzeilen	Web Tier	2	5. Nov 2021
R	servlet-mapping führt zu 404-Fehlern	Web Tier	0	9. Feb 2021
B	Servlet mit TomCat9	Web Tier	0	18. Apr 2020
A	redirect mit servlet-mapping in web.xml	Web Tier	4	1. Nov 2018
J	Wie Mouse Event in Servlet einbinden?	Web Tier	1	17. Aug 2016
D	JSF Servlet Mapping	Web Tier	3	17. Nov 2015
J	Session Servlet - JavaScript	Web Tier	6	16. Jun 2015
D	Servlet 1 Servlet für alles - Wie Cookies per Ajax?	Web Tier	1	28. Mai 2015
S	Problem mit Checkboxen im Servlet erkennen	Web Tier	3	21. Apr 2015
	Servlet MVC Design Pattern	Web Tier	1	12. Feb 2015
A	Anfänger-Frage Servlet/Applet/JSP	Web Tier	0	31. Jan 2015
	Allgemeine Verständnisfrage zum Thema Servlet (in Vaadin)	Web Tier	2	22. Dez 2014
H	File Output Servlet	Web Tier	6	29. Nov 2014
I	vTiger Astersik Connector: NO JSP Support for , did not find org.apache.jasper.servlet.JspServlet	Web Tier	0	30. Okt 2014
	Servlet oder JSP	Web Tier	12	29. Jul 2014
H	Servlet/JSP und OSGI	Web Tier	2	7. Jul 2014
L	Servlet Datenbank	Web Tier	0	16. Mrz 2014
D	Java EE Servlet login Problem	Web Tier	1	25. Feb 2014
W	Servlet SPEICHERN UNTER-Dialog für mehrere Dateien	Web Tier	4	27. Jan 2014
A	Faces Context nicht mehr erreichbar nach Servlet Aufruf	Web Tier	1	19. Dez 2013
S	Java Bean und Java Servlet	Web Tier	2	9. Nov 2013
D	Servlet Servlet Weiterleitung static html	Web Tier	5	5. Feb 2013
G	GWT 404 - Servlet nicht gefunden	Web Tier	6	17. Nov 2012
H	Applet wirft AccessControlException bei File von Servlet	Web Tier	3	6. Nov 2012
H	Servlet lässt sich nicht deployen	Web Tier	7	31. Okt 2012
C	Kommunkation Servlets/Browseraufruf Servlet	Web Tier	4	27. Sep 2012
	Servlet Servlet wird nicht angesprochen	Web Tier	3	4. Sep 2012
J	Servlet Zugriff Servlet	Web Tier	11	2. Jul 2012
A	JSON von JavaScript an Servlet	Web Tier	9	30. Jun 2012
K	Servlet + JSP: JSP-Seite ein Array/ArrayList überliefern vom Controller-Servlet	Web Tier	8	22. Mai 2012
0	Servlet.Properties	Web Tier	3	24. Apr 2012
P	Servlet Wo gibt es das javax.servlet.Servlet?	Web Tier	2	30. Mrz 2012
H	Servlet Servlet nimmt HTTP-GET mit Parameter entgegen	Web Tier	2	21. Mrz 2012
5	Bild Pfad Servlet	Web Tier	2	8. Mrz 2012
D	Datenbankzugriff im Servlet	Web Tier	5	3. Jan 2012
H	Servlet Apache Geronimo: Servlet nicht erreichbar	Web Tier	2	28. Dez 2011
S	Ich brauche Buchempfehlung über JSP und Servlet	Web Tier	2	21. Dez 2011
A	Parameterübergabe an Servlet und Aufruf von Servlets per Java Code	Web Tier	7	16. Dez 2011
S	Auswahl eine Zeile von einer HTML Tabelle im Servlet	Web Tier	4	4. Nov 2011
K	Servlet URL Mapping	Web Tier	3	25. Okt 2011
S	ClassPath für Servlet	Web Tier	3	25. Okt 2011
	Servlet Logging - Standard Servlet	Web Tier	5	26. Sep 2011
K	Portlet, Servlet doGet und doPost	Web Tier	4	20. Sep 2011
	Servlet Alleinlaufendes Servlet bauen	Web Tier	6	22. Aug 2011
P	Servlet wird nicht gefunden - HTTP Error 503	Web Tier	7	19. Aug 2011
	Servlet pro Request	Web Tier	2	3. Aug 2011
C	Pageing mit JSp&Servlet	Web Tier	5	22. Jul 2011
D	JSP JSP integriert ein Servlet... Wie?	Web Tier	7	28. Jun 2011
N	Servlet ausführen	Web Tier	26	30. Mai 2011
B	statische Html Seite als response erhalten (Servlet)	Web Tier	3	18. Mai 2011
A	javax/servlet/jsp/jstl/core/Config	Web Tier	1	5. Mai 2011
F	Servlet mapping ;-)	Web Tier	3	22. Apr 2011
H	Servlet Mapping mit JSF	Web Tier	8	19. Apr 2011
B	(JSP)+(Struts2)+(Servlet) Konfiguration web.xml	Web Tier	2	7. Apr 2011
W	MVC mit Bean, JSP und Servlet	Web Tier	6	9. Mrz 2011
T	Button im Servlet - Werte übergeben	Web Tier	2	25. Feb 2011
J	werte per post an servlet übergeben und auswerten	Web Tier	3	15. Feb 2011
	HttpServletRequest-instanz in servlet und JSP unterschiedlich?	Web Tier	5	10. Feb 2011
T	Bild durch anderes Bild ersetzen mit Servlet	Web Tier	3	31. Jan 2011
E	Mein erstes Servlet	Web Tier	8	21. Jan 2011
S	Servlet automatisch aufrufen	Web Tier	2	13. Jan 2011
J	Kommunikation zwischen Servlet und EJB	Web Tier	6	4. Jan 2011
C	Image in Servlet	Web Tier	2	24. Dez 2010
S	Servlet File Upload (API oder JSPSmart download)	Web Tier	4	15. Dez 2010
N	API Nutzung SERVLET	Web Tier	12	9. Dez 2010
J	Memory Leak in Servlet nach längere Laufzeit	Web Tier	6	8. Dez 2010
	template engine gesucht ohne abhängigkeit zum servlet container	Web Tier	2	2. Dez 2010
G	Servlet Ausgabe richtig benutzen	Web Tier	4	16. Nov 2010
W	Servlet auf sich selbst verweisen lassen (Anfängerfrage)	Web Tier	6	2. Nov 2010
M	Servlet Ausführungsfehler	Web Tier	4	29. Okt 2010
D	Servlet alle 6h ausführen	Web Tier	5	29. Okt 2010
M	Servlet & JSP Organisation	Web Tier	2	25. Okt 2010
J	seltsames Auslastungsproblem bei Servlet	Web Tier	7	14. Okt 2010
	JSF - läuft ausserhalb des servlet-containers?	Web Tier	5	13. Okt 2010
R	Direkten Servlet-Aufruf verhindern (JSP)	Web Tier	3	29. Sep 2010
K	Formularweiterleitung an Servlet	Web Tier	5	24. Sep 2010
N	Servlet: Problem mit getParameterValues	Web Tier	4	1. Sep 2010
J	Dateiupload- Servlet	Web Tier	14	24. Aug 2010
H	Probleme beim Aufrufen von Java- oder Servlet-Methoden aus Javascript	Web Tier	2	21. Aug 2010
G	Kommunikation Servlet + Applikation	Web Tier	4	6. Aug 2010
	Welche Servlet-Version benötigt GWT 2.0?	Web Tier	13	6. Aug 2010
X	Servlet Select box	Web Tier	6	4. Aug 2010
S	Java Servlet Content Type	Web Tier	3	2. Aug 2010
E	Servlet zum speichern einer Datei in einer Datenbank	Web Tier	3	28. Jul 2010
M	Servlet neuladen	Web Tier	2	26. Jul 2010
H	Wie wurde ein Servlet aufgerufen	Web Tier	2	4. Jun 2010
J	Servlet soll XML ausgeben und Javascript soll dieses einlesen	Web Tier	3	3. Jun 2010
H	servlet fehlermeldung	Web Tier	3	4. Mai 2010
W	JSP/Servlet Web Applikation programmierung	Web Tier	9	6. Apr 2010
J	Faces response aus einem anderen Servlet heraus rendern	Web Tier	4	24. Mrz 2010
E	Servlet mit einem Link aufrufen?	Web Tier	13	12. Jan 2010
D	Servlet FacesServlet is not available und	Web Tier	3	12. Dez 2009
S	servlet bedienen mit get und post parameter	Web Tier	10	8. Dez 2009
S	Laden von globalen Resourcen im Servlet Container..?	Web Tier	3	7. Dez 2009
T	JBoss + Servlet + HTML Fileupload + Encoding	Web Tier	1	26. Nov 2009
2	Servlet: Pfad zu Webcontent	Web Tier	6	3. Nov 2009
J	Servlet Sicherheit	Web Tier	4	30. Aug 2009
J	struts2: vom value stack zum servlet	Web Tier	14	18. Aug 2009
D	Servlet-Klassen und Templates trennen?	Web Tier	18	15. Aug 2009
	Servlet destroy	Web Tier	11	6. Aug 2009

Servlet vor Browser URL-Direktzugriff schützen

ifconfig

Aktives Mitglied

tagedieb

Top Contributor

ifconfig

Aktives Mitglied

tagedieb

Top Contributor

Ähnliche Java Themen

Aktuelle Jobs

Neue Themen