WebアプリケーションがFORM認証を使用して構成されている場合でも、BASIC認証ヘッダーを処理するサーブレットフィルターを作成したいと思います。Jenkinsがこれを実行できたので、これはどういうわけか可能であることがわかります。(http://sorcerer.jenkins-ci.org/- > jenkins.security.ApiTokenFilterを参照)
MyAuthFilter簡単なロギング、保護されたWebリソース、および次の簡単なデモがありますweb.xml。
<?xml version="1.0" encoding="UTF-8"?>
<!--<web-app version="3.0" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd">-->
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" id="WebApp_ID"
version="2.5">
<filter>
<filter-name>MyAuthFilter</filter-name>
<filter-class>com.foobar.auth.MyAuthFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>MyAuthFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<servlet>
<servlet-name>ServletAdaptor</servlet-name>
<servlet-class>com.sun.jersey.spi.container.servlet.ServletContainer</servlet-class>
<init-param>
<param-name>com.sun.jersey.config.property.packages</param-name>
<param-value>com.ericsson</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>ServletAdaptor</servlet-name>
<url-pattern>/secure/*</url-pattern>
</servlet-mapping>
<session-config>
<session-timeout>
30
</session-timeout>
</session-config>
<security-constraint>
<display-name>SecurityConstraint</display-name>
<web-resource-collection>
<web-resource-name>all</web-resource-name>
<description>all</description>
<url-pattern>/*</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>
<http-method>HEAD</http-method>
<http-method>PUT</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
<http-method>DELETE</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>AuthenticatedUser</role-name>
</auth-constraint>
</security-constraint>
<!-- <login-config>
<auth-method>BASIC</auth-method>
<realm-name>foobar</realm-name>
</login-config>-->
<login-config>
<auth-method>FORM</auth-method>
<realm-name>ossrealm</realm-name>
<form-login-config>
<form-login-page>/public/login.jsp</form-login-page>
<form-error-page>/public/error.html</form-error-page>
</form-login-config>
</login-config>
</web-app>
私の問題はMyAuthFilter、保護されたリソースを要求したときに呼び出されないことです。サイレントにログインページにリダイレクトされます。セキュリティ制約を無効にすると、フィルターが呼び出されます。
私が見逃しているポイントは何ですか?FORMベースとBASIC認証が混在するようにするにはどうすればよいですか?
注:目的自体(メソッドの混合)についてはコメントしないでください。これは、私のWebアプリケーションにRESTfulサービスが組み込まれており、スクリプトからBASIC認証を介して到達可能である必要があるためです(Jenkinsのように)が、ログインページにリダイレクトする必要がある場合Webブラウザから使用されます。