1
我正在研究Tomcat的安全模型,并询问安全领域何时生效。我已获得我的web应用程序的一部分:每个会话或每个请求的Tomcat安全领域?
<security-constraint>
<display-name>My Realm</display-name>
<web-resource-collection>
<web-resource-name>MyServices</web-resource-name>
<url-pattern>/service/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<description>AUser</description>
<role-name>AUser</role-name>
</auth-constraint>
</security-constraint>
,并配置了该Web应用程序使用JDBCRealm。
我有一个初始的Filter定义了getSession()被调用,因此在响应过程中cookie被返回到客户端浏览器。当客户端发出另一个请求时,当返回cookie(当前认证的会话)时是否绕过了安全领域?什么样的类做出这个决定(或者调用安全领域)? JDBCRealm没有Cookie或会话的概念,而RealmBase看起来像它有some cookie logic, but not much。