如何授予 Tomcat 5.5.x 中经过身份验证的用户的访问权限？答案

【问题标题】：How to grant access to authenticated users in Tomcat 5.5.x?如何授予 Tomcat 5.5.x 中经过身份验证的用户的访问权限？
【发布时间】：2009-11-23 14:15:44
【问题描述】：

我想在我的 Web 应用程序中向经过身份验证的用户授予访问权限，而无需他们成为特定角色的成员。

我的第一个猜测是在我的 auth-constraint 中指定 <role-name>*</role_name>，但这似乎只是意味着授予对我的 web 应用程序中定义的任何角色的访问权限，而不是授予对任何经过身份验证的用户的访问权限。

是否可以在 Tomcat 5.5.x 中执行此操作，如果可以，如何操作？

【问题讨论】：

【解决方案1】：

事实证明，Tomcat 确实支持这一点。在server.xml中，添加allRolesMode = authOnly 在适当的领域标签中。

【讨论】：

【解决方案2】：

我认为直接的答案是否定的，你不能在 Java EE 5 中这样做。但你可以创建一个“每个人”角色，每个经过身份验证的用户都是其中的一部分。我认为这就是约翰的目的，也是我将如何做到的。真的没有太大区别。

或者，如果您愿意以编程方式执行此操作，并且正在使用容器管理的身份验证，您应该能够通过检查 HttpServletRequest.getRemoteUser() 是否不为空来检测经过身份验证的用户。这不涉及角色。

【讨论】：