1
私はTomcatのセキュリティモデルを検討しており、セキュリティレルムがいつ発効するかについて質問しています。私は自分のWebアプリケーションの一部を確保している:セッションごとまたはリクエストごとのTomcatセキュリティレルム?
<security-constraint>
<display-name>My Realm</display-name>
<web-resource-collection>
<web-resource-name>MyServices</web-resource-name>
<url-pattern>/service/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<description>AUser</description>
<role-name>AUser</role-name>
</auth-constraint>
</security-constraint>
をしてJDBCRealmを使用するには、このWebアプリケーションを構成しています。
私は最初にFilter
と定義されています。ここでは、getSession()
が呼び出され、応答中にクッキーがクライアントのブラウザに返されます。クライアントが別のリクエストを行った場合、Cookieが返されたときにセキュリティレルムがバイパスされます(現在の認証セッション)。どのようなクラスがこの決定を下すか(セキュリティレルムを呼び出すかどうか) JDBCRealmにはクッキーやセッションの概念はなく、RealmBaseはsome cookie logic, but not muchのように見えます。