Saya menambahkan keamanan Spring ke situs web internal. Saya diminta agar otentikasi dikaitkan dengan Tomcat-users.xml, sehingga kami dapat mengurangi jumlah kata sandi yang perlu diubah/diingat.
Dari apa yang saya dapat di Google, ini tidak terlalu mudah, jika memungkinkan.
Segalanya berfungsi dengan baik, untuk saat ini, dengan pengguna + peran yang di-hardcode di springSecurity.xml.
Anda dapat memperlakukan keamanan kontainer sebagai skenario yang telah diautentikasi sebelumnya.
Ada contoh aplikasi di basis kode yang menggunakan pendekatan ini. Ini menggunakan konfigurasi kacang eksplisit, tetapi ada juga <jee> elemen namespace tersedia.
Hal ini dapat dilakukan sebagai skenario pra-otentikasi seperti yang ditunjukkan oleh Lukas, namun saya tidak menyarankan opsi tersebut. Saat Anda menggunakan file Tomcat xml, Anda menggunakan MemoryRealm tetapi Anda dapat beralih ke JDBCRealm dan menyimpan kedua pengguna (Spring dan Tomcat) di database. Saya menyarankan ini untuk pemeliharaan, konsistensi dan keamanan. Jika Anda mengubah wadah servlet, Anda harus memigrasikan pengguna dan peran keamanan Anda.
https://tomcat.apache.org/tomcat-8.0-doc/realm-howto.html#MemoryRealm
