Есть ли способ настроить Jboss/Tomcat для предотвращения простого текстового содержимого j_password (JAAS) в файле журнала?
(23:03:24,141 DEBUG [org.apache.tomcat.util.http.Parameters] (http-localhost-127.0.0.1-8080-3) Начать обработку с ввода [j_username=username&j_password=123easy]
Это может показаться большой проблемой, но даже администратор сервера не должен иметь доступа к секретной информации, просто изменив журнал уровней.
Хотя я могу согласиться с тем, что это ошибка в Tomcat, другие могут счесть это полезной функцией отладки.
Чтобы избежать включения этого вывода, вам следует ни в коем случае не включать DEBUG для корневого регистратора на исправном сервере! Программно этого можно добиться, адаптировав это к вашим потребностям:
LogManager.getLogger("com.myCompanyHere").setLevel(DEBUG);
Это включает DEBUG, но только для классов, находящихся под вашим контролем! В свойствах или XML-файле то же самое можно сделать, используя ваши собственные приложения и установив уровни, чтобы избежать классов, не находящихся под вашим контролем.
В JBoss EAP 6.4 вы можете установить в подсистеме urn:jboss:domain:logging:1.5:
<logger category="org.apache.coyote.http11">
<level name="ERROR"/>
</logger>
