系统正在使用Tomcat 5.5.28(Java Servlet 2.4)。我有一个随机生成的令牌,我用HMAC(基于哈希的消息认证码)创建。该令牌将用于RESTful Web服务。据我所知,有一种称为承载身份验证的东西,涉及将授权HTTP头设置为Bearer {token}, i.e. Bearer ABCD1234。 Tomcat是否支持承载认证,如果支持,如何配置?
如果我无法使用承载身份验证,那么我的备份计划是配置基本身份验证并将令牌作为自定义HTTP标头传递。从表面上看,HTTPS将被强制执行,特别是TLS,用于任何类型的身份验证。
非常感谢。
答案 0 :(得分:3)
不,Tomcat 5.5不支持承载身份验证,也不支持更高版本。您可以通过编写处理它的Valve来实现自己的身份验证。
如果有很大的兴趣,Tomcat将来可能会支持此类身份验证,但您必须参与并提高受欢迎的支持。我以前从未听说过承载认证......
最近有一些工作要实现JASPIC身份验证,这可能会使Tomcat中的可插入身份验证模块变得更容易,这可能会使实现这样的方案变得更容易,即使你必须手动滚动它。 / p>
考虑加入Tomcat dev列表来询问那里。