带有请求头的Tomcat身份验证

我有一个在Tomcat7上运行的web应用程序。目前用户通过JDBCRealm使用密码登录。

在我的组织中有一个身份验证服务器。用户向该服务器发送HTTP请求，服务器以某种方式对其进行身份验证，然后使用自定义HTTP标头将请求转发到我的应用程序，该标头指定经过身份验证的用户名（无密码）。

我想使用这种机制对我的应用程序的用户进行身份验证，同时保留JDBC领域。当用户向/login发送请求时，他们的请求将使用标头进行身份验证，并且他们将被重定向到主页，就像他们使用标准j_security_check表单登录一样，但不必提供密码。

以下是我到目前为止的想法：

@WebFilter("/login/*")
public class LoginFilter implements Filter {
  @Override
  public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
    throws IOException, ServletException {
    HttpServletRequest httpRequest = (HttpServletRequest) req;
    HttpServletResponse httpResponse = (HttpServletResponse) res;
    String username = ... // Extract username from httpRequest, not an issue
    httpRequest.login(username, "???"); // Need to provide a password!
    httpResponse.sendRedirect(httpRequest.getContextPath() + "/pages/home.xhtml");
  }
}

当我为JDBCRealm提供了正确的密码，但密码在过滤器中不可用时，这就起作用了。

更新：我最终用一个自定义阀门解决了这个问题：

public class LoginValve extends ValveBase {
    @Override
    public void invoke(Request req, Response res) throws IOException, ServletException {
    if (!req.getRequestURI().equals(req.getContextPath() + "/login")) {
        getNext().invoke(req, res);
        return;
    }
    Session session = req.getSessionInternal();
    if (session.getPrincipal() == null) {
        String username = ... // From req
        List<String> roles = ... // From req
        session.setPrincipal(new GenericPrincipal(username, null, roles));
    }
    req.setUserPrincipal(session.getPrincipal());
    getNext().invoke(req, res);
}

我从一个稍后调用的过滤器中进行重定向。