我在Tomcat上有网络应用程序。我需要限制仅对经过身份验证的用户访问其所有资源。用户登录和凭据位于某些具有相应列的数据库表中。在案例数据库模式中实现此功能的最简单方法是不要修改。
我找到了一些选择:
- 扩展tomcat JDBCRealm。它需要额外的角色表(这就是扩展而不是使用标准的原因),但我简化了一个角色的情况。
- 基于DB实现JAAS LoginModule。如果现有的开源解决方案具有在专有软件中使用的许可,请告诉我。
- 成功登录后,将用户置于会话属性中。然后实现servlet过滤器,检查会话中是否存在该属性。
可能有更简单的选择。所以看到它们会很有趣。