ฉันกำลังเพิ่มการรักษาความปลอดภัยของ Spring ให้กับเว็บไซต์ภายใน ฉันถูกขอให้ผูกการรับรองความถูกต้องกับ tomcat-users.xml เพื่อให้เราสามารถลดจำนวนรหัสผ่านที่จะเปลี่ยน/จดจำได้
จากสิ่งที่ฉันได้รับจาก Google นี่ไม่ได้ตรงไปตรงมามากนักหากเป็นไปได้
ตอนนี้สิ่งต่าง ๆ ทำงานได้ดีโดยผู้ใช้ + บทบาทฮาร์ดโค้ดใน springSecurity.xml
คุณสามารถรักษาความปลอดภัยของคอนเทนเนอร์ได้โดยใช้ สถานการณ์ที่ผ่านการรับรองความถูกต้องล่วงหน้า
มีแอปตัวอย่างในโค้ดเบสที่ใช้แนวทางนี้ มันใช้การกำหนดค่า bean ที่ชัดเจน แต่ก็มี <jee> องค์ประกอบเนมสเปซ พร้อมใช้งาน
สิ่งนี้สามารถทำได้เป็นสถานการณ์การตรวจสอบสิทธิ์ล่วงหน้าตามที่ลุคระบุ แต่ฉันไม่แนะนำตัวเลือกนั้น เมื่อคุณใช้ไฟล์ Tomcat xml คุณกำลังใช้ MemoryRealm แต่คุณสามารถสลับไปใช้ JDBCRealm และเก็บผู้ใช้ทั้งสอง (Spring และ Tomcat) ไว้ในฐานข้อมูล ฉันแนะนำสิ่งนี้เพื่อการบำรุงรักษา ความสม่ำเสมอ และความปลอดภัย หากคุณเปลี่ยนเซิร์ฟเล็ตคอนเทนเนอร์ คุณจะต้องย้ายผู้ใช้และบทบาทความปลอดภัยของคุณ
https://tomcat.apache.org/tomcat-8.0-doc/realm-howto.html#MemoryRealm
