2011-03-25 64 views
0

我們有一個tomcat web應用程序,它提供了使用Spring Security進行保護的web服務。客戶端向我們寫信給驗證他們的身份,並創建一個包含authToken,然後使用Spring Security的登記他們作爲這樣一個特定的AuthenticationService方法的調用:Apache可以根據Tomcat webapp的Spring SecurityContext限制訪問嗎?

SecurityContextHolder.getContext().setAuthentication(authToken) 

這是所有罰款和良好的。但是,我們還要求經過身份驗證的用戶能夠訪問由同一服務器上的Apache(httpd)提供的靜態內容。有沒有一種方法可以強制用戶在下載靜態內容之前(通過Java/Spring)進行身份驗證?看起來Apache和Tomcat必須以某種方式共享SecurityContext。

或者,Tomcat似乎可以自己提供靜態內容,因爲它已經可以訪問SecurityContext。如果這是最好的解決方案,任何人都可以提供一個指向我們如何讓tomcat來做到這一點的指針(在檢查用戶已被認證之後提供靜態內容)。

謝謝。

回答

0

是的,Tomcat將不得不提供靜態內容。

mvc:resources在這裏可以幫到你。之後,設置使用標準攔截URL配置來保護這些映射。

相關問題