除非您有其他特定于Tomcat的原因,或者无法修改Web应用程序,否则使用自定义过滤器进行身份验证(JAAS或其他方式)可能是最简单的。例如:
- http://www.kopz.org/public/documents/tomcat/jaasintomcat.html
- http://securityfilter.sourceforge.net/
使用自定义过滤器,您可以以相对简单的方式以所需的任何方式进行身份验证。
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { String token = request.getParameter("token"); if (token != null) { doAuthentication(token); } chain.doFilter(request, wrapper);}您已用JAAS标记。这与仅使用简单令牌进行身份验证有所不同,但是如果您要查找的是令牌,您是否熟悉Tomcat的JAASRealm?您只需要编写自己的LoginModule即可对令牌进行身份验证。
- http://tomcat.apache.org/tomcat-7.0-doc/realm-howto.html#JAASRealm
不用说,通过电子邮件使用基于令牌的登录本质上是不安全的,因此并不适合所有类型的应用程序。
