11.6.3.17 ユーザ認証

Interstage Application Server J2EE ユーザーズガイド

目次索引

第2部 Servlet/JSP編

> 第11章 Servletサービスの環境定義ファイル

> 11.6 Webアプリケーション環境定義ファイル(deployment descriptor)

> 11.6.3 Webアプリケーション環境定義ファイル(deployment descriptor)のタグの詳細

11.6.3.17 ユーザ認証

　ユーザ認証方法の定義は、login-configタグで定義します。

■記述形式

-------------------------------------------------------------------------------
    <login-config>
      <auth-method>
        method
      </auth-method>
      <realm-name>
        name
      </realm-name>
      <form-login-config>
        <form-login-page>
          login-page
        </form-login-page>
        <form-error-page>
          error-page
        </form-error-page>
      </form-login-config>
    </login-config>
-------------------------------------------------------------------------------

■タグの内容

タグ名	説明	タグの省略	複数の指定
auth-method	認証方法を定義します。以下の値を指定します。 BASIC HTTP Basic認証 FORM フォームベース認証 auth-methodタグまたは認証方法が省略された場合は、"BASIC"が省略値となります。複数定義した場合は、最後に指定したタグが有効となります。	○	×
realm-name	HTTP Basic認証で使用する領域名を定義します。領域名は、ユーザ認証を行う画面（ダイアログボックス）に表示されます。 HTTP Basic認証を使用しない場合、指定は無視されます。複数定義した場合は、最後に指定したタグが有効となります。	○	×
form-login-config	フォームベース認証定義の開始/終了を定義します。フォームベース認証で使用するログインページやエラーページを指定します。フォームベース認証を使用しない場合、指定は無視されます。複数定義した場合は、最後に指定された<form-login-config>が有効となります。	○	×
form-login-page	フォームベース認証で使用するログインページを定義します。 form-login-configタグ定義時は、必須です。指定されたログインぺージは、フォームベース認証が行われる際にWWWブラウザに表示されます。 (注意) ログインページでは、ユーザ名／パスワードをServletコンテナに受け渡すため、以下のインタフェースを使用しなければなりません。アプリケーション名：j_security_check パラメタ名->ユーザ名：j_username パラメタ名->パスワード：j_password <例> 　：　　<FORM ACTION="j_security_check" 　　METHOD="POST">　　UserName: <INPUT TYPE="text" 　　NAME="j_username"> 　　Password: <INPUT TYPE="password" 　　NAME="j_password"> 　　</FORM> 　： auth-methodタグでフォームベース認証を指定した場合は、必ず本タグを指定してください。省略した場合は、Basic認証となります。ログインページは必ず指定してください。省略された場合は、ログインページが表示されません。複数定義した場合は、最後に指定されたタグが有効となります。	×	×
form-error-page	フォームベース認証失敗時に表示するエラーページのロケーションを定義します。 form-login-configタグ定義時は、必須です。指定されたエラーぺージは、フォームベース認証失敗時にWWWブラウザに表示されます。フォームログイン失敗時に表示するエラーページのロケーションを指定します。省略した場合は、エラーとなります。複数定義した場合は、最後に指定したタグが有効となります。	×	×

■記述例

◆HTTP Basic認証の場合

-------------------------------------------------------------------------------
  <web-app>
    <login-config>
      <auth-method>BASIC</auth-method>
      <realm-name>Welcome Page</realm-name>
    </login-config>
  </web-app>
-------------------------------------------------------------------------------

◆フォームベース認証の場合

-------------------------------------------------------------------------------
  <web-app>
    <login-config>
      <auth-method>FORM</auth-method>
      <form-login-config>
        <form-login-page>/login.jsp</form-login-page>
        <form-error-page>/error.jsp</form-error-page>
      </form-login-config>
    </login-config>
  </web-app>
-------------------------------------------------------------------------------

■留意事項

　フォームベース認証は、サーブレット・コンテナ環境定義ファイルのContextManagerタグに指定するclientSession属性の設定によって、認証の継続についての動作が異なります。

clientSession属性でpermanentを指定した場合
ユーザ名／パスワードの入力処理は、クライアントの初回起動時だけ必要です。
クライアントを終了しても認証は継続します。
認証の継続時間は、以下によって決まります。
- セションのタイムアウト
  セションがタイムアウトするまでの間、認証は継続します。
  セションのタイムアウト時間は、Webアプリケーション環境定義ファイル(deployment descriptor)(web.xml)のsession-configタグ、またはHttpSessionクラスのsetMaxInactiveInterval(int interval)メソッドで定義することができます。session-configタグの詳細は、"セションパラメタ"を参照してください。
- アプリケーションがセションを破棄するまで
  アプリケーション内の処理で、HttpSessionクラスのinvalidate()メソッドを使用してセションを破棄するまで、認証は継続します。
注意）
　フォームベース認証における認証継続処理は、Cookieを利用して実装されています。したがって、Cookieをサポートしていないクライアントや、Cookieを無効にするような運用をしている場合には、clientSession属性でpermanentを指定した場合でも、認証は継続されません。

clientSession属性でdefaultを指定した場合、または、clientSession属性を省略した場合
ユーザ名／パスワードの入力処理は、クライアントを起動するたびに必要です。
クライアントを終了すると、認証は無効になります。

目次索引