1
我正在研究Tomcat的安全模型,並詢問安全領域何時生效。我已獲得我的web應用程序的一部分:每個會話或每個請求的Tomcat安全領域?
<security-constraint>
<display-name>My Realm</display-name>
<web-resource-collection>
<web-resource-name>MyServices</web-resource-name>
<url-pattern>/service/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<description>AUser</description>
<role-name>AUser</role-name>
</auth-constraint>
</security-constraint>
,並配置了該Web應用程序使用JDBCRealm。
我有一個初始的Filter
定義了getSession()
被調用,因此在響應過程中cookie被返回到客戶端瀏覽器。當客戶端發出另一個請求時,當返回cookie(當前認證的會話)時是否繞過了安全領域?什麼樣的類做出這個決定(或者調用安全領域)? JDBCRealm沒有Cookie或會話的概念,而RealmBase看起來像它有some cookie logic, but not much。