我們有一個tomcat web應用程序,它提供了使用Spring Security進行保護的web服務。客戶端向我們寫信給驗證他們的身份,並創建一個包含authToken,然後使用Spring Security的登記他們作爲這樣一個特定的AuthenticationService方法的調用:Apache可以根據Tomcat webapp的Spring SecurityContext限制訪問嗎?
SecurityContextHolder.getContext().setAuthentication(authToken)
這是所有罰款和良好的。但是,我們還要求經過身份驗證的用戶能夠訪問由同一服務器上的Apache(httpd)提供的靜態內容。有沒有一種方法可以強制用戶在下載靜態內容之前(通過Java/Spring)進行身份驗證?看起來Apache和Tomcat必須以某種方式共享SecurityContext。
或者,Tomcat似乎可以自己提供靜態內容,因爲它已經可以訪問SecurityContext。如果這是最好的解決方案,任何人都可以提供一個指向我們如何讓tomcat來做到這一點的指針(在檢查用戶已被認證之後提供靜態內容)。
謝謝。