tomcat - 是否可以在 Tomcat 中组合 RemoteAddrValve 和身份验证阀？

Question

我想用 Apache Tomcat 实现基于容器的访问控制。我想通过 IP 地址或使用内置验证器阀之一(例如 FORM、BASIC 等)授予对我的 Web 服务的访问权限。

使用场景是允许某些用户从一些静态服务器 IP 地址访问或，如果他们不在那些受信任的 IP 范围内，则提供一些身份验证凭据(最好通过 TLS)。

是否有可能以这种方式组合两个阀门的 Action ？如果不是，什么是好的/快速/简单的方法来解决这个问题？

Answer 1

不，Tomcat 不支持开箱即用。您必须编写自己的 Authenticator 才能执行此类操作。

例如，由于您要结合现有的 Authenticator(假设 FormAuthenticator 用于通过 HTML 表单向用户询问用户名和密码)，但也允许绕过来自 IP 范围的用户，然后简单地:

1. 子类化 FormAuthenticator
2. 重写 authenticate(Request,HttpServletResponse) 方法以
   1. 检查 IP 请求的地址；如果匹配，则在请求上设置 Principal 并返回 true
   2. 如果没有 IP 匹配，调用 super.authenticate(request,response)

好好看看 FormAuthenticator.authenticate 是如何做的，您将能够轻松地处理如上所述的 Principal。

请记住，如果您只有一个 IP 地址，您将不知道选择哪个用户或角色。因此，您可能需要在适合该用户的任何角色集合中使用类似“IPauthUser”的内容。