我们有十几个遗留Web应用程序(每个都有自己的应用程序上下文),它们使用Tomcat的容器管理安全性进行简单的基于表单的身份验证。我们目前使用Tomcat的单点登录阀门,允许经过身份验证的用户在Web应用程序之间跳转,而无需重新进行身份验证。我们还使用Spring Security框架开发新的Web应用程序。
是否可以通过新的Spring Security应用程序获得经过身份验证的用户也可以跳转到较旧的旧版(非Spring版)应用程序而无需重新进行身份验证?他们是使用Tomcat SSO阀门连接Spring Security的方法吗?
我更愿意避免对旧版网络应用进行任何更改,但要了解它是否可行。
答案 0 :(得分:4)
您可以使用J2eePreAuthenticatedProcessingFilter执行此操作: http://static.springsource.org/spring-security/site/docs/3.2.x/reference/htmlsingle/#d4e2766
请注意: 配置Tomcat SSO后,它为Web应用程序提供Java EE身份验证。 这意味着,如果应用程序通过表单身份验证或Tomcat SSO进行身份验证,则它是透明的。最后是Java EE身份验证。 因此,您需要使用J2eePreAuthenticatedProcessingFilter才能使用Tomcat提供的Java EE身份验证。