JSP/Servletでウェルカムページが認証されない事象について

投稿日：2021年4月24日更新日：2021年3月25日

＜目次＞

JSP/Servletでウェルカムページに設定したページが、フルパスだと認証（ログイン画面に自動遷移）されるのに対して、ウェルカムページの短縮URL（jsp名を省略したURL）でアクセスすると認証されない、という事象についてです。

結論として、これは「仕様通り」の動きなのですが、なぜこうなるかについて少し整理したので備忘として残します。

web.xmlにて<welcome-file>要素を用いてウェルカムページの指定を行いました。具体的には下図のように「WebContent/form_auth/AfterLogin.jsp」というページを指定しています。

（図１１１）

これによりjsp名を省略したURLでアクセス可能にしています。

https://[ホスト名]:[ポート番号]/ [アプリケーション名]/

ウェルカムページで指定したページが含まれる「form_auth」ディレクトリ配下に対して、Form認証を適用しました。

（図１１２）

これにより「AfterLogin1.jsp」にアクセスするためには認証（Login1.jspからのログイン）が必要になりました。

https://[ホスト名]:[ポート番号]/ [アプリケーション名]/form_auth/ AfterLogin1.jsp

AfterLogin1.jspのフルパスを指定した場合はログイン画面に遷移するものの、ウェルカムページとして短縮URLでアクセスした際には、結果的には同じ画面を表示しようとしているにも関わらず、認証が発動しませんでした。

（動画）

操作①：AfterLogin1.jspにフルパスでアクセス⇒認証あり

操作②：AfterLogin1.jspにウェルカムページのURLでアクセス⇒認証されない

ウェルカムページの短縮URLだと、Form認証の適用パターン（/form_auth/*）にマッチせず、認証のカバー範囲から外れてしまうためです。具体的には、次のようにウェルカムページの短縮URLが、認証範囲よりも上位の階層の扱いになるため、短縮URLの時には認証がされませんでした。

（ウェルカムページの短縮URL）

https://ik1-336-28337.vs.sakura.ne.jp:8443/LoginTemplate/

（認証範囲）

https://ik1-336-28337.vs.sakura.ne.jp:8443/ LoginTemplate/form_auth/*

私自身はこの事象に対する明確な対処方法を見つけられていないのですが、運用回避としてウェルカムページは認証が不要な入口のページとして作り変える方針で進めようと考えています（※そもそも、ウェルカムページってそういうモノですし💦）。

そして、ウェルカムページから飛ぶ先から認証が必要な構造にしようと考えています（よくある、ウェルカムページに「ログイン」ボタンが設置してあるイメージ）。