Java tomcat是否可以配置为允许从主要受信任的tomcat服务器进行连接，而无需用户名登录？

想象一下，一个主要的tomcat服务器暴露在外部世界。进一步想象一下，在这个tomcat服务器下面是1到“N”个不暴露于外部世界的tomcat服务器。这些tomcat服务器响应来自主服务器的序列化对象请求。我们将使用单词primary和secondary

第二方（我希望）不需要使用登录名和密码

是否可以配置辅助设备，使其仅允许来自受信任主设备（受信任证书）的https连接

任何用户都不会访问辅助数据库上的网页，如果他们尝试访问，他们将被重定向到错误页面

--更多详细信息--

这是一个遗留系统，它将POJO从主/顶级tomcat服务器序列化到“工作”tomcat服务器（不遵循框架/标准）。“Worker”tomcat服务器目前使用不需要的SSO（本例中为JOSSO）。在过去的某个时候，这些“工作者”Tomcat提供了网页和所需的身份验证。现在已经不是这样了

我希望从Worker tomcats中删除SSO代理，并在升级系统时使我们的生活更加轻松。一些部署的系统非常庞大，升级所有tomcat工作人员需要数周时间。想象一下，试图让不同的Tomcat在不同版本的SSO中都能玩得很好，这让人头疼吗

由于这些Worker-tomcat服务器不暴露于外部世界，因此我希望能够在主tomcat和任何一个Worker-tomcat服务器之间建立某种形式的可信连接，这样就不需要用户级凭据。我希望这种设置能够让坐在客户网络中的黑客发现连接到工人tomcats是一种挑战

最后，我缺乏在tomcat a和tomcat B之间建立可信连接的经验，因此不使用用户凭据

---

任何关于如何研究该主题或是否可行的建议，我们都将不胜感激。

这是一种自主开发的Web服务集群吗？是否希望主服务器和辅助服务器仅通过https进行通信？您希望您的主服务器通过https（例如客户端证书）进行身份验证还是根本不进行身份验证？如果您不需要来自主tomcat的身份验证，您将如何确定其他人（未经身份验证）访问辅助tomcat，以便他们“将被重定向到错误页面”？还有，您的实现是什么？如果你不实施任何基于用户身份的权限检查，当然你不需要登录我的问题的第一个版本有一个非常冗长的解释，但我担心我会吓跑所有那些不能阅读两个或三个句子以上的人。让我编辑并添加到问题中。只要客户网络中的黑客无法通过Https轻松连接，Https就可以了。主服务器可能会继续使用SSO，以便与该公司提供的其他公开服务配合使用。目前这是Tomcat5.5，但我将把它们升级到TomEE+。我什么都回答了吗？谢谢你的帮助。