Java 当经过身份验证的用户访问未受保护的页面时，getRemoteUser（）返回null

我有一个J2EEWeb应用程序，既有受保护的页面，也有未受保护的页面。成功验证并访问受保护的页面后，我会立即访问未受保护的页面。此时，getRemoteUser（）返回null，就好像我从未进行过身份验证一样。这是J2EE安全方面的预期行为吗

我查看了servlet规范（2.4）和J2EE教程（1.4）的安全部分，没有找到任何关于访问未受保护的资源是否应该保留用户身份验证状态的评论

编辑：在呈现未受保护的页面之前，我正在对当前HttpServletRequest对象调用getRemoteUser（）

编辑：我还检查了JavaDoc中的HttpServletRequest.getRemoteUser（）和HttpServletRequest.getUserPrincipal（），他们也没有对这个问题发表评论。

除非您使用JAAS（例如：），否则它属于

然后，问题就归结为客户端是否随请求发送凭据。对于基本身份验证，它基于需要凭据的请求的URI。当您访问树的该分支之外的路径时，除非遇到401，否则不会发送凭据

所以，是的，我希望为空。

除非您使用JAAS（例如：），否则它属于空

然后，问题就归结为客户端是否随请求发送凭据。对于基本身份验证，它基于需要凭据的请求的URI。当您访问树的该分支之外的路径时，除非遇到401，否则不会发送凭据

所以，是的，我希望是空的