繞過使用tomcat從我的網站solr進行基本身份驗證

Question

我有我的網站與sorl位於同一臺服務器上。 我希望solr只允許來自我的網站的查詢，而不是來自外部的ips，當然是出於安全原因。 所以後來我的網頁將是唯一一個可以做的查詢，如：

$.getJSON("http://127.0.0.1:8080/solr/select/?q=*:*&wt=json&json.wrf=?&indent=true", function(result){} 

但因爲我有我與身份驗證配置SORL應用它總是提示寫的用戶名和密碼。

<security-constraint> 
<web-resource-collection> 
    <web-resource-name>Solr Lockdown</web-resource-name> 
    <url-pattern>/</url-pattern> 
</web-resource-collection> 
    <auth-constraint> 
    <role-name>solr_admin</role-name> 
    <role-name>admin</role-name> 
    </auth-constraint> 
</security-constraint> 
    <login-config> 
    <auth-method>BASIC</auth-method> 
    <realm-name>Solr</realm-name> 
</login-config> 

我到過這裏，但這種方法它的阻塞也是我的主要網站，並且仍然提示密碼時，我做的查詢 Tomcat : Bypass basic Authentication for Specified IP Address

Answer 1

這不是工作，因爲你正在從一個JSON調用客戶端瀏覽器，而不是Web服務器。在這種情況下，所有對Solr的調用都將來自客戶端機器。您需要讓您的Web服務器對Solr進行調用，並通過您的網站中的JSON調用可以執行的網址公開。

此外，如果您通過IP地址進行限制，則需要刪除基本身份驗證，否則將應用兩者。