Tomcat 是否支持 Bearer (Token) Authentication,如果支持,如何配置?
Does Tomcat support Bearer (Token) Authentication and, if so, how does one configure it?
系统正在使用 Tomcat 5.5.28 (Java Servlet 2.4)。我有一个用 HMAC 创建的随机生成的令牌(Hash-based 消息身份验证代码)。该令牌将用于 RESTful 网络服务。据我了解,有一种称为 Bearer Authentication 的东西,它涉及将 Authorization HTTP Header 设置为 Bearer {token}, i.e. Bearer ABCD1234。 Tomcat 是否支持 Bearer Authentication,如果支持,我该如何配置?
如果我不能使用不记名身份验证,那么我的 back-up 计划是配置基本身份验证并将令牌作为自定义 HTTP Header 传递。表面上,HTTPS 将被强制执行,特别是 TLS,用于任何类型的身份验证。
非常感谢。
不,Tomcat5.5 不支持 Bearer Authentication,以后的版本也不支持。您可以通过编写处理它的 Valve 来实现您自己的身份验证。
如果有很大的兴趣,Tomcat 将来可能会支持此类身份验证,但您必须参与并获得大众支持。我以前从未听说过 Bearer Authentication...
最近有一些实现 JASPIC 身份验证的工作,这可能会使 Tomcat 中的可插入身份验证模块更容易实现,即使您必须手卷它。
考虑加入 Tomcat 开发者列表,在那里提问。
系统正在使用 Tomcat 5.5.28 (Java Servlet 2.4)。我有一个用 HMAC 创建的随机生成的令牌(Hash-based 消息身份验证代码)。该令牌将用于 RESTful 网络服务。据我了解,有一种称为 Bearer Authentication 的东西,它涉及将 Authorization HTTP Header 设置为 Bearer {token}, i.e. Bearer ABCD1234。 Tomcat 是否支持 Bearer Authentication,如果支持,我该如何配置?
如果我不能使用不记名身份验证,那么我的 back-up 计划是配置基本身份验证并将令牌作为自定义 HTTP Header 传递。表面上,HTTPS 将被强制执行,特别是 TLS,用于任何类型的身份验证。
非常感谢。
不,Tomcat5.5 不支持 Bearer Authentication,以后的版本也不支持。您可以通过编写处理它的 Valve 来实现您自己的身份验证。
如果有很大的兴趣,Tomcat 将来可能会支持此类身份验证,但您必须参与并获得大众支持。我以前从未听说过 Bearer Authentication...
最近有一些实现 JASPIC 身份验证的工作,这可能会使 Tomcat 中的可插入身份验证模块更容易实现,即使您必须手卷它。
考虑加入 Tomcat 开发者列表,在那里提问。