将自定义应用程序身份验证与 JAVA EE 安全性相结合。可能的?
Combining custom application authentication with JAVA EE security. Possible?
当前设置:
- 我们有两个网络应用程序(App1 和 App2)。
- App1 不使用任何身份验证,因为它纯粹是信息性的。
- App2 使用 API 进行身份验证(API 连接到某处的服务器以对用户进行身份验证)
- 使用的应用程序服务器:Websphere 8
问题:
- 需要为 App1 和 App2 实施 SSO。我了解要在 Websphere 中实现 SSO,应用程序必须使用 Java EE 安全性进行身份验证。当它有自己的自定义身份验证过程时,是否仍然可以为 app2 实现它?以便为两个应用程序实施 SSO
谢谢,
让我们说清楚一点。您说 App1 根本不受保护,而 App2 受到某些自定义身份验证过程的保护。对吗?
那么对于 App2 -> App1 重定向,您不需要任何 SSO,因为 App1 不安全。对于 App1 -> App2 重定向,任何 SSO 都无法实施,因为 App1 没有要传递的安全上下文。
如果 App1 也受到保护(通过任何方式,例如 HttpAuth basic - 可以是与 App2 使用的完全不同的身份验证方法),并且两个应用程序都是 运行 在 IBM 环境中(例如 WAS) ,使用了 LTPA SSO:
- 某用户访问App1,例如通过HttpAuth Basic认证。
- WebSphere 为他创建一个 LTPA (SSO) 令牌,这个令牌与所有后续请求一起传递 - 用户仅通过一次 LTPA 会话进行身份验证。
- 如果同一用户随后也访问 WAS 上的应用程序 2 运行,并且 WAS 服务器之间是否存在 LTPA 信任(自动在单元内,通过创建跨单元信任手动创建)并且如果用户属于同一个 REALM,它被认为已通过身份验证并允许它 - 不会发生 App2 自定义身份验证。
当前设置:
- 我们有两个网络应用程序(App1 和 App2)。
- App1 不使用任何身份验证,因为它纯粹是信息性的。
- App2 使用 API 进行身份验证(API 连接到某处的服务器以对用户进行身份验证)
- 使用的应用程序服务器:Websphere 8
问题:
- 需要为 App1 和 App2 实施 SSO。我了解要在 Websphere 中实现 SSO,应用程序必须使用 Java EE 安全性进行身份验证。当它有自己的自定义身份验证过程时,是否仍然可以为 app2 实现它?以便为两个应用程序实施 SSO
谢谢,
让我们说清楚一点。您说 App1 根本不受保护,而 App2 受到某些自定义身份验证过程的保护。对吗?
那么对于 App2 -> App1 重定向,您不需要任何 SSO,因为 App1 不安全。对于 App1 -> App2 重定向,任何 SSO 都无法实施,因为 App1 没有要传递的安全上下文。
如果 App1 也受到保护(通过任何方式,例如 HttpAuth basic - 可以是与 App2 使用的完全不同的身份验证方法),并且两个应用程序都是 运行 在 IBM 环境中(例如 WAS) ,使用了 LTPA SSO:
- 某用户访问App1,例如通过HttpAuth Basic认证。
- WebSphere 为他创建一个 LTPA (SSO) 令牌,这个令牌与所有后续请求一起传递 - 用户仅通过一次 LTPA 会话进行身份验证。
- 如果同一用户随后也访问 WAS 上的应用程序 2 运行,并且 WAS 服务器之间是否存在 LTPA 信任(自动在单元内,通过创建跨单元信任手动创建)并且如果用户属于同一个 REALM,它被认为已通过身份验证并允许它 - 不会发生 App2 自定义身份验证。