Java Apache能否基于Tomcat webapp限制访问；s Spring SecurityContext？

我们有一个tomcat webapp，它提供使用Spring安全性保护的Web服务。客户端调用一个特定的authenticationService方法，我们编写该方法对它们进行身份验证，并创建一个authToken，然后使用该authToken向Spring Security注册它们，如下所示：

SecurityContextHolder.getContext().setAuthentication( authToken )

那很好。但是，我们还要求经过身份验证的用户能够访问由Apache（httpd）在同一台服务器上提供的静态内容。有没有办法强制要求用户在下载静态内容之前（通过Java/Spring）进行身份验证？似乎Apache和Tomcat必须以某种方式共享SecurityContext

或者，Tomcat似乎可以自己提供静态内容，因为它已经可以访问SecurityContext。如果这是最好的解决方案，任何人都可以提供一个指针，指示我们如何让tomcat做到这一点（在检查用户是否已通过身份验证后提供静态内容）

---

谢谢。

是的，Tomcat必须提供静态内容

这可能会有帮助。设置之后，使用标准截取url配置保护这些映射