2012-02-24 107 views
1

我正在研究Tomcat的安全模型,並詢問安全領域何時生效。我已獲得我的web應用程序的一部分:每個會話或每個請求的Tomcat安全領域?

<security-constraint> 
    <display-name>My Realm</display-name> 
    <web-resource-collection> 
     <web-resource-name>MyServices</web-resource-name> 
     <url-pattern>/service/*</url-pattern> 
    </web-resource-collection> 
    <auth-constraint> 
    <description>AUser</description> 
    <role-name>AUser</role-name> 
    </auth-constraint> 
</security-constraint> 

,並配置了該Web應用程序使用JDBCRealm

我有一個初始的Filter定義了getSession()被調用,因此在響應過程中cookie被返回到客戶端瀏覽器。當客戶端發出另一個請求時,當返回cookie(當前認證的會話)時是否繞過了安全領域?什麼樣的類做出這個決定(或者調用安全領域)? JDBCRealm沒有Cookie或會話的概念,而RealmBase看起來像它有some cookie logic, but not much

回答

相關問題