我正在将Spring安全性添加到内部网站。我被要求将身份验证绑定到tomcat-users.xml,以便我们可以减少要更改/记住的密码数量。
从我能够使用谷歌开始,如果可能的话,这不是很直接。
现在,在springSecurity.xml中使用硬编码的用户+角色,工作正常。
答案 0 :(得分:1)
您可以将容器安全性视为pre-authenticated scenario。
代码库中有sample app使用此方法。它使用显式bean配置,但也有<jee> namespace element可用。
答案 1 :(得分:0)
这可以作为Luke指示的预认证场景来完成,但我不建议这个选项。当您使用tomcat xml文件时,您正在使用MemoryRealm,但您可以切换到JDBCRealm并将两个用户(Spring和Tomcat)存储在数据库中。我建议这用于维护,一致性和安全性。如果更改servlet容器,则必须迁移安全用户和角色。
https://tomcat.apache.org/tomcat-8.0-doc/realm-howto.html#MemoryRealm