系统使用 Tomcat 5.5.28 (Java Servlet 2.4)。我有一个使用 HMAC(基于哈希的消息验证代码)创建的随机生成的 token 。该 token 将用于 RESTful Web 服务。据我了解,有一种称为 Bearer Authentication 的东西,它涉及将授权 HTTP header 设置为 Bearer {token},即 Bearer ABCD1234。 Tomcat 是否支持 Bearer Authentication,如果支持,我该如何配置?
如果我不能使用 Bearer Authentication,那么我的后备计划是配置 Basic Authentication 并将 token 作为自定义 HTTP header 传递。表面上,HTTPS 将被强制执行,特别是 TLS,用于任何类型的身份验证。
非常感谢。
最佳答案
不,Tomcat 5.5 不支持 Bearer Authentication,以后的版本也不支持。您可以通过编写处理它的 Valve 来实现您自己的身份验证。
如果有很大的兴趣,Tomcat 将来可能会支持此类身份验证,但您必须参与并获得普遍支持。我以前从未听说过 Bearer Authentication...
最近有一些工作来实现 JASPIC 身份验证,这可能会使在 Tomcat 中执行可插入身份验证模块变得更容易,这可能会使实现这样的方案更容易,即使您必须手动执行它也是如此。
考虑加入 Tomcat 开发列表,在那里询问。
关于java - Tomcat 是否支持承载( token )身份验证,如果支持,如何配置它?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31727243/