Tomcat 是否支持 Bearer (Token) Authentication,如果支持,如何配置?

Does Tomcat support Bearer (Token) Authentication and, if so, how does one configure it?

系统正在使用 Tomcat 5.5.28 (Java Servlet 2.4)。我有一个用 HMAC 创建的随机生成的令牌(Hash-based 消息身份验证代码)。该令牌将用于 RESTful 网络服务。据我了解,有一种称为 Bearer Authentication 的东西,它涉及将 Authorization HTTP Header 设置为 Bearer {token}, i.e. Bearer ABCD1234。 Tomcat 是否支持 Bearer Authentication,如果支持,我该如何配置?

如果我不能使用不记名身份验证,那么我的 back-up 计划是配置基本身份验证并将令牌作为自定义 HTTP Header 传递。表面上,HTTPS 将被强制执行,特别是 TLS,用于任何类型的身份验证。

非常感谢。

不,Tomcat5.5 不支持 Bearer Authentication,以后的版本也不支持。您可以通过编写处理它的 Valve 来实现您自己的身份验证。

如果有很大的兴趣,Tomcat 将来可能会支持此类身份验证,但您必须参与并获得大众支持。我以前从未听说过 Bearer Authentication...

最近有一些实现 JASPIC 身份验证的工作,这可能会使 Tomcat 中的可插入身份验证模块更容易实现,即使您必须手卷它。

考虑加入 Tomcat 开发者列表,在那里提问。