Двойная аутентификация в приложении GWT/EXT + Spring Security

Question

У меня проблемы с двойной аутентификацией. Я внедрил форму аутентификации через всплывающее окно, которое всегда находится сверху. Но у меня есть проблема, вероятно, с перехватчиками, которые вызывают запрос на проверку подлинности с помощью Tomcat еще до начала применения:

Имя пользователя и пароль запрашивается по http://127.0.0.1:8888. На сайте говорится: «Spring Security Application»

Если отключить перехватчики, я вижу в журнале, что SecurityContextHolder обрабатывает пользователя как Anonymous.

Так что мой вопрос: Могу ли я как-то отключить этот первый экран входа Tomcat?

Моя конфигурация XML Spring-безопасности:

<?xml version="1.0" encoding="UTF-8"?> 
<beans:beans xmlns="http://www.springframework.org/schema/security" 
      xmlns:beans="http://www.springframework.org/schema/beans" 
      xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
      xsi:schemaLocation="http://www.springframework.org/schema/beans 
           http://www.springframework.org/schema/beans/spring-beans-3.0.xsd 
           http://www.springframework.org/schema/security 
           http://www.springframework.org/schema/security/spring-security-3.0.xsd"> 


<authentication-manager alias="authenticationManager"> 
    <authentication-provider ref="customAuthenticationProvider"/> 
</authentication-manager> 

<beans:bean id="customAuthenticationProvider" class="com.myCompany.model.security.CustomAuthenticationProvider" > 
    <beans:property name="databaseId" value="${configuration.databaseId}" /> 
    <beans:property name="applicationId" value="${configuration.applicationId}" /> 
</beans:bean> 

<http auto-config="true" > 
     <intercept-url pattern="/myApp/**" access="IS_AUTHENTICATED_ANONYMOUSLY"/> 
     <intercept-url pattern="/MyApp.html*" access="IS_AUTHENTICATED_ANONYMOUSLY"/> 
     <intercept-url pattern="/gwt/**" access="ROLE_USER"/> 
     <intercept-url pattern="/**/*.html" access="ROLE_USER"/> 

     <intercept-url pattern="/css/**" filters="none"/> 
     <intercept-url pattern="/**" access="ROLE_USER" /> 

     <http-basic /> 
</http> 

<global-method-security secured-annotations="enabled" /> 

</beans:beans> 

Answer 1

Ваш вопрос не слишком ясно. Вы упомянули экран входа в Tomcat, который я предполагаю, это первый экран вашего веб-приложения, позволяющий пользователю войти в систему.

Если это так, и ваша страница входа в систему называется, скажем, login.html, все, что вы что нужно сделать, это настроить перехватчики, чтобы разрешить анонимный доступ к этому PAGE-

<intercept-url pattern="/**/login.*" access="IS_AUTHENTICATED_ANONYMOUSLY"/> 
<intercept-url pattern="/gwt/**" access="ROLE_USER"/> 
<intercept-url pattern="/**/*.html" access="ROLE_USER"/> 

<intercept-url pattern="/css/**" filters="none"/> 
<intercept-url pattern="/**" access="ROLE_USER" /> 

Answer 2

в случае, если я правильно понял ваш вопрос в правильном пути у вас есть проблемы с двойной аутентификации, например, a Tomcat аутентификация или Apache Basic Auth и Весна механизм аутентификации.

Хотя последний проект я проблемы, связанный с Apache Basic Auth и пружинного механизмом безопасности. Перед запуском у меня была задача «защитить» доступ к сайту простым Apache Basic Auth. При включении этого в конфигурации ApacheSpring начали делать то же самое: «Spring Security Application» было показано, все время

Решение такого поведения должно было отключить автоматическое конфиг:

<security:http auto-config="false" ...> 
    ... 
</security:http>