1

我为 Tomcat 6 开发了一个 Web 应用程序,但我遇到了一个我不知道如何解决的问题。让我们考虑以下小场景。想象一下,不仅需要通过用户和密码对用户进行身份验证,而且只有在某些额外条件为真(例如,用户、密码和他的 IP 地址匹配)时才会授予身份验证。据我了解,Tomcat 引入了领域的概念。一个简单JDBCRealm的应用程序就足够了,因为直到现在才检查用户和密码对。现在也需要检查 IP 地址。我编写了一个扩展类的简单测试JDBCRealm类:

package security;

import org.apache.catalina.realm.JDBCRealm;
import org.apache.log4j.Logger;

import java.security.Principal;
import java.sql.Connection;

public class ApplicationRealm extends JDBCRealm {

    protected final Logger logger = Logger.getLogger(this.getClass());

    @Override
    public synchronized Principal authenticate(Connection connection, String userName, String credentials) {
        logger.info("custom realm test, the authentication will be failed just for testing");
        return null;
    }

}

然后我尝试使用以下方法绑定这个领域类context.xml

<?xml version="1.0" encoding="UTF-8"?>
<Context>
    <Realm className="security.ApplicationRealm" connectionName="${user}" connectionPassword="${password}"
        connectionURL="${url}${database}" debug="99" driverName="${driver}" roleNameCol="role" userCredCol="pw"
        userNameCol="login" userRoleTable="users_roles" userTable="users"/>
</Context>

Web应用部署成功,但是当我尝试访问登录页面时,Tomcat返回404页面(我怀疑问题的根源是节点中的className属性):Realm

HTTP Status 404 -
type Status report
message
description The requested resource () is not available.
Apache Tomcat/6.0.24

如何绑定自定义JDBCRealm后代context.xml?也许我尝试使用它是完全错误的JDBCRealm,但无论如何我都看不到正确的解决方案。

提前致谢。

4

1 回答 1

0

领域的不正确部署是问题的原因。而且,自定义领域也不适合这里。检查 IP 地址的最佳方法是编写一个可以访问 HTTP 请求的自定义表单身份验证器。更改中的表单身份验证web.xml器并部署它完全可以满足我的需要。它还消除了在每个请求上检查 IP 地址的要求,因为安全资源隐藏在授权“墙”后面——这意味着如果授权被授予,也意味着 IP 是有效的。感谢 JoseK 指出了一个好的解决方案。我只是对 Tomcat 中的领域概念有点困惑。

于 2010-08-28T18:07:03.680 回答