我有一个部署在TomCat服务器上的Hawtio-offline实例,该实例通过TomCat身份验证进行了身份验证(例如,用户在conf / tomcat-users.xml文件中定义)。我想知道是否有办法仅通过TomCat身份验证来强制执行用户角色和权限。
例如,我希望有一个来宾用户,该用户只能查看每个选项卡,而不能进行任何更改。或者具有只能启动或暂停骆驼上下文而不能破坏上下文的角色。
这可能吗?如果是这样,实现此目标的最佳方法是什么?谢谢!
答案 0 :(得分:0)
目前,仅Apache Karaf容器支持RBAC(基于角色的访问控制)。
如果要为Tomcat启用RBAC,则需要为Tomcat实现JMXSecurityMBean并将其注册到平台MBean服务器,以便Hawtio可以查找它:
https://github.com/hawtio/hawtio/blob/hawtio-2.0.3/hawtio-system/src/main/java/io/hawt/jmx/JMXSecurityMBean.java
但这很难。