我们有一个tomcat webapp,它提供使用Spring Security保护的web服务。客户端调用一个特定的authenticationService方法,我们编写该方法来验证它们并创建一个authToken,然后用它来注册它们,如下所示:
SecurityContextHolder.getContext().setAuthentication( authToken )
这一切都很好,很好。但是,我们还要求经过身份验证的用户能够访问同一服务器上由Apache(httpd)提供服务的静态内容。有没有办法在下载静态内容之前强制要求用户已经过身份验证(通过Java / Spring)?似乎Apache和Tomcat必须以某种方式共享SecurityContext。
OR - 或者似乎Tomcat可以提供静态内容本身,因为它已经可以访问SecurityContext。如果这是最好的解决方案,那么任何人都可以提供指向我们如何让tomcat这样做的指针(在检查用户已经过身份验证后提供静态内容)。
感谢。