如何限制tomcat中的登陆页面？

Question

我有一个在 tomcat 上运行的 java Web 应用程序，并将使用单点登录（针对 Active Directory）进行身份验证。

我想要完成的是，只允许网络应用程序中的某些页面成为网站中的第一个“登陆页面”。

用例是，可以将浏览器指向index.jsp，然后在后台进行身份验证，然后转发到some_content.jsp。

但是，如果我将浏览器直接指向 some_content.jsp，我希望该请求以某种方式被拒绝，并且不在幕后进行身份验证。

换言之，如果我先访问 some_content.jsp，但尚未经过身份验证，我不希望进行身份验证，即使我设置了 SSO。

这是一个相当简单的安全约束问题，还是解决方案是什么？我正在寻找一个可以配置的解决方案，而不是添加代码。

多谢！

Answer 1

这不适用于容器管理的安全性。像 Tomcat 中那样具有容器管理器身份验证的具体登录入口点的唯一方法是 FORM 身份验证。我自己使用 SPNEGO auth，Tomcat 将在任何标记为受保护的 URL 上执行它。因此，除非您编写自定义身份验证器，否则路由登录页面是不可能的。