1

该系统使用 Tomcat 5.5.28 (Java Servlet 2.4)。我有一个使用 HMAC(基于哈希的消息身份验证代码)创建的随机生成的令牌。该令牌将在 RESTful Web 服务中使用。据我了解,有一种叫做 Bearer Authentication 的东西,它涉及将 Authorization HTTP Header 设置为Bearer {token}, i.e. Bearer ABCD1234. Tomcat 是否支持承载身份验证,如果支持,我该如何配置它?

如果我不能使用承载身份验证,那么我的备用计划是配置基本身份验证并将令牌作为自定义 HTTP 标头传递。从表面上看,HTTPS 将被强制执行,特别是 TLS,用于任何类型的身份验证。

非常感谢。

4

1 回答 1

3

不,Tomcat 5.5 不支持承载认证,任何更高版本也不支持。您可以通过编写处理它的 Valve 来实现您自己的身份验证。

如果有很大的兴趣,Tomcat 将来可能会支持这种身份验证,但你必须参与其中并获得大众的支持。我以前从未听说过承载身份验证...

最近有一些工作来实现 JASPIC 身份验证,这可能会使在 Tomcat 中执行可插入身份验证模块变得更容易,这可能会使实现这样的方案更容易,即使你必须手动滚动它。

考虑加入 Tomcat 开发者列表并在那里询问。

于 2015-07-30T21:12:22.937 回答