Я добавляю безопасность Spring на внутренний веб-сайт. Меня попросили привязать аутентификацию к tomcat-users.xml, чтобы мы могли сократить количество паролей, которые нужно изменить/запомнить.
Из того, что я смог найти в Google, это не очень просто, если вообще возможно.
На данный момент все работает нормально с пользователем + ролью, жестко запрограммированной в springSecurity.xml.
Вы можете рассматривать безопасность контейнера как сценарий с предварительной аутентификацией.
В кодовой базе есть пример приложения, в котором используется этот подход. Он использует явную конфигурацию bean-компонента, но также есть <jee>элемент пространства имен доступен.
Это можно сделать как сценарий предварительной аутентификации, как указывает Люк, но я не предлагаю такой вариант. Когда вы используете xml-файл tomcat, вы используете MemoryRealm, но вы можете переключиться на JDBCRealm и сохранить обоих пользователей (Spring и Tomcat) в базе данных. Я предлагаю это для обслуживания, согласованности и безопасности. Если вы измените контейнер сервлетов, вам придется перенести пользователей и роли безопасности.
https://tomcat.apache.org/tomcat-8.0-doc/realm-howto.html#MemoryRealm
