Java 使用web应用程序的Apache服务器会话身份验证

我正在构建一个小型Java（servlet）身份验证web应用程序，该应用程序将在Tomcat上运行。应用程序将对用户进行身份验证，然后将用户重定向到另一个web应用程序（在不同的服务器上）。问题是，在用户进行身份验证后，我需要以某种方式告诉Apache该会话已通过身份验证，Apache应该（使用重写规则）将http请求重定向到目标web应用程序（而不是用于身份验证的应用程序）

根据我的研究，我有3种选择： 1.身份验证成功后，我重定向到一个URL，该URL告诉Apache该会话已通过身份验证（使用重写规则）。我可以将此信息存储在Cookie（问题：安全性）或Apache环境变量（问题：清除非活动环境变量…）中。 2.使用apache mod将会话存储到数据库中。身份验证成功后，我用Java app更新数据库，apache将所有请求重定向到目标URL（问题：DB访问负载（最多500个活动concurent用户））。 3.HTTP隧道。但这意味着对目标应用程序的每个请求都要经过我的身份验证应用程序（问题：冗余、缓慢……）

还有别的办法吗

最好的方法是什么

---

非常感谢。

有几种方法

如果您负担得起企业解决方案，请选择Oracle Identity 管理/Oracle访问管理。它将重定向到登录 页面，一旦登录成功并添加了正确的cookie， 所有未来的请求都将在其上的请求中注入头 内侧。您的内部应用程序可以输入标题和 确认用户已登录。要进行开发，您可以运行 使用Firefox ModifyHeaders的无OIM/OAM的安全应用程序 插件

如果您负担不起企业解决方案，请使用OpenIAM 做同样的事情，但规模很小，没有报告和高可用性功能

可能会有三分之一的人这样做，但我从来没有尝试过 将通过使用Apache的身份验证模块（或组合） 例如，或者

---

祝你好运

您在不同服务器上的web应用程序是否也运行tomcat？否。Apache和tomcat在同一服务器上运行。非常感谢。