Tomcat 是否能够在一个应用程序(BASIC 和 CLIENT-CERT)上使用混合身份验证?
Is Tomcat capable of using mixed Authentication on one app (BASIC and CLIENT-CERT)?
是否可以通过 tomcat (v. >6) 使用不同的身份验证方法来保护 Web 应用程序的资源:
- 基础
- 客户端证书
我有一个网络应用程序,仅使用 BASIC Auth 就可以在其中保护一些资源。基本示例:
- myApp/userInterface/*
但是对于一些作为服务公开的资源,我想使用客户端证书身份验证。客户端证书示例:
- myApp/api/*
直到现在,我只发现在 web.xml 中的每个 Web 应用程序都可以执行此操作,但不能在资源级别上执行此操作。
无法配置 Tomcat 以立即执行此操作。使用第 3 方身份验证库可能是可能的。
我帮助 https://wiki.apache.org/tomcat/SSLWithFORMFallback in combination with this tomcat valve 允许 SSL 客户端证书和表单以及基本的回退身份验证。我还使用调整后的身份验证界面将其调整为 Tomcat 8:
...
public boolean authenticate(Request request, HttpServletResponse response) throws IOException {
LoginConfig config = context.getLoginConfig();
...
此致
是否可以通过 tomcat (v. >6) 使用不同的身份验证方法来保护 Web 应用程序的资源:
- 基础
- 客户端证书
我有一个网络应用程序,仅使用 BASIC Auth 就可以在其中保护一些资源。基本示例:
- myApp/userInterface/*
但是对于一些作为服务公开的资源,我想使用客户端证书身份验证。客户端证书示例:
- myApp/api/*
直到现在,我只发现在 web.xml 中的每个 Web 应用程序都可以执行此操作,但不能在资源级别上执行此操作。
无法配置 Tomcat 以立即执行此操作。使用第 3 方身份验证库可能是可能的。
我帮助 https://wiki.apache.org/tomcat/SSLWithFORMFallback in combination with this tomcat valve 允许 SSL 客户端证书和表单以及基本的回退身份验证。我还使用调整后的身份验证界面将其调整为 Tomcat 8:
...
public boolean authenticate(Request request, HttpServletResponse response) throws IOException {
LoginConfig config = context.getLoginConfig();
...
此致