如何在tomcat中限制登陸頁面？

Question

我有一個運行在tomcat上的java web應用程序，並將使用單點登錄（針對Active Directory）進行身份驗證。

我想完成的是，只有網頁應用程序中的某些頁面才被允許成爲網站中的第一個「着陸頁」。

用例是指可以將瀏覽器指向index.jsp，然後在幕後進行身份驗證，然後轉發給some_content.jsp。但是，如果我直接將瀏覽器指向some_content.jsp，我希望該請求被拒絕，並且不會在幕後進行身份驗證。

要重新表述，如果我先轉到some_content.jsp，而沒有進行身份驗證，我不希望身份驗證發生，儘管我已經設置了SSO。

這是一個相當簡單的安全約束問題，或者解決方案可能是什麼？我正在尋找可配置的解決方案，而不是添加代碼。

非常感謝！

Answer 1

這不適用於容器管理的安全性。在Tomcat中使用容器管理器身份驗證的具體登錄入口點的唯一方法是FORM auth。我自己使用SPNEGO身份驗證，如果Tomcat表示爲受保護，它將在任何URL上執行它。因此，除非您編寫自定義身份驗證器，否則無法使用路由登錄頁面。