我们有一个在WebLogic下运行的现有Java EE应用程序,我想以编程方式验证用户,就像用户通过现有的Web登录过程登录一样。也就是说,最后,我希望有一个有效的会话(cookie)可以返回给调用者,然后返回服务器而无需重新认证。 (这是为了启用JAX-WS有状态Web服务调用)。
我们有一个自定义的LoginModule,当用户通过Forms Authentication登录时,最终通过j_security_check调用。我想我想做的是以某种方式让WebLogic代表我调用LoginModule,询问我的凭据,并提供经过身份验证的会话和有效的主题等(即所有JAAS的优点)。
这是JAAS的事吗?是否有WebLogic调用?
答案 0 :(得分:2)
您可以使用HttpServletRequest#login方法执行此操作。这将触发相同类型的登录链,否则如果您使用过的访问受保护资源,则会执行该登录链。
答案 1 :(得分:0)
WebLogic安全性使用安全服务插件(SSPI)体系结构,允许您实现安全提供程序。容器(例如servlet)身份验证由使用SSPI的身份验证提供程序处理。身份验证提供程序包装JAAS登录模块。
编写和配置安全提供程序是extensively documented。
如果您实现身份验证提供程序来包装登录模块并为WebLogic域配置它,那么WebLogic安全框架将自动调用它以进行所有容器身份验证。