Apache et des domaines de sécurité partage J2EE/connexions, authentification unique

Question

Voici la situation dans laquelle je voudrais créer:

• www.blah.com/priv - protégé par Apache HTTP Basic Auth, royaume "toto"
• www.blah.com/application - protégé par Tomcat/Servlet HTTP Basic Auth, royaume "toto"
• accès utilisateur /priv, les demandes apache informations de connexion, ils fournissent et bénéficient d'un accès
• utilisateur demande alors même /application. Puisqu'ils se sont authentifiés au royaume de "foo" dans l'étape précédente, je voudrais qu'ils soient laissés entrer directement.
• Si un autre utilisateur accède /application sans passer d'abord à /priv, Tomcat requiert une authentification (et ils pourraient également un accès ultérieur /priv sans avoir à réauthentifier) ​​

Fondamentalement, je veux apache et tomcat partager des domaines d'authentification et, idéalement, les bases de données utilisateur.

Comment cela pourrait-il être mieux réalisé?

Answer 1

Avez-vous déjà essayé de le faire et avez-vous échoué? Je demande parce que l'authentification HTTP Basic a lieu purement en ajoutant un en-tête HTTP à une demande; c'est-à-dire, une fois que vous êtes authentifié par rapport à un domaine donné sur un serveur donné, votre navigateur ajoute un en-tête supplémentaire à votre requête (par exemple, "Authorization: Basic amxldmludnskZXZsaW4 ="), et le serveur reconnaît que vous êtes authentifié. de cet en-tête. Donc, compte tenu de votre exemple, et après quelques tests ad-hoc que je viens de faire, je pense que la configuration que vous décrivez fonctionnera sans aucun effort supplémentaire de votre part.