Apache 使用Tomcat应用程序保护HttpServer上的内容-有什么想法吗？

我们在Tomcat上有一个Web应用程序。该应用程序从专用Apache HTTPServer访问内容（机密）。我们不希望未经授权的用户访问此内容。i、 e.只有通过WebApp（在Tomcat上）认证的用户才能访问HttpServer内容。 （我们使用HTTPS保护网络安全，但如果有人获得内容的直接httpserver url，他们可能会下载内容）

---

我们正在考虑在Tomcat上的同一个webapp中托管内容。有什么想法吗？

实现这一点的简单/懒惰方法是强制要求每次访问Apache服务器时，HTTP引用都是Tomcat服务器的地址。关于这一点的一页：

然而，如果黑客发现这是你的保护方案，那么欺骗HTTP推荐人就相当简单了

按照工作顺序，还有两种更复杂但安全的方法：

在Tomcat服务器上编写一个JSP页面或其他东西来验证用户是否登录，然后通过HTTP从Apache获取数据，然后将数据输出回最终用户。这样做可以有效地编写自己的反向代理。然后锁定Apache服务器，只向Tomcat服务器的IP地址（以及您希望允许的任何其他authorzied/内部IP）提供页面。优点：还是很快就能做到。缺点：如果使用tomcat资源显示另一台服务器上的每个页面，可能会带来可伸缩性问题，特别是如果apache服务器提供大量字节（例如，如果apache提供500兆文件，这会耗尽tomcat脚本的内存吗？这取决于您编写和测试JSP页面的能力！当心！）。如果页面很小，这可能不是问题

在Apache和Tomcat之间实现某种单点登录。这可以是基于cookie的，也可以是更高级的（比如后端身份验证服务器跟踪会话）。通过这种方式，Apache将知道请求https://页面的用户已经过正确的身份验证，否则将拒绝该请求。优点：完全可扩展。缺点：设置起来比较困难，很多解决方案都是商业/付费产品

---

很抱歉反应太晚。谢谢你的信息。