Я изучаю модель безопасности Tomcat и задаю вопрос, когда вступят в силу области безопасности. Я заблокировал часть своего веб-приложения:
<security-constraint>
<display-name>My Realm</display-name>
<web-resource-collection>
<web-resource-name>MyServices</web-resource-name>
<url-pattern>/service/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<description>AUser</description>
<role-name>AUser</role-name>
</auth-constraint>
</security-constraint>
и настроили это веб-приложение для использования JDBCRealm .
У меня есть начальная Filter, определенная, где getSession() вызывается, и, таким образом, cookie возвращается браузеру клиента во время ответа. Когда клиент делает другой запрос, обходит ли область безопасности при возврате куки (текущий сеанс аутентификации)? Какой класс принимает это решение (вызывать область безопасности или нет)? JDBCRealm не имеет представления о файлах cookie или сеансах, а RealmBase выглядит так, как будто имеет некоторую логику cookie, но не очень .