我正在尝试用Java创建一个安全且可能计量的Web服务。
在我的研究中,我发现了很多关于OpenSSO的信息,并认为这是我的解决方案,直到我发现OpenAM接管了缰绳并且OpenSSO不再被开发出来了!
我有Tomcat7 + OpenAM的最新版本installed and have started to configure it。
我的目标:
我希望有一个基于会话/令牌的身份验证,用户可以从安全的Web服务端点(OpenAM seems to offer this)请求令牌,而不是在后续的HTTP请求中包含该令牌,该请求受到受保护的Web服务端点的影响。 OpenAM。
我看到了关于如何为Apache创建'agent-policy'的指南......但到目前为止还没有Tomcat?也许我对这些东西是如何工作只是天真 - 也许我会为Tomcat使用Java EE策略?
最后,很高兴:当用户点击特定服务时,我能够获取他们经过身份验证的令牌,并使用它以某种有意义的方式“计量”服务(记录有关请求的信息) - 是否存在OpenAM中的API挂钩,还是我应该计划在Web服务内部实现它?
我的问题是:是否有任何指南可用于展示此类配置的示例项目。 OpenAM的文档很好,但我想我需要更多的手持。
答案 0 :(得分:1)
看看这个: https://wikis.forgerock.org/confluence/display/openam/OpenSSO+Spring+Security+(Acegi)+Integration
我们将此视为一种可能的解决方案。我们计划使用Spring来协助我们的实施。
希望它有所帮助。
答案 1 :(得分:1)
http://www.oracle.com/technetwork/java/wss-sdn-4-140497.html
ClientFilter对应于基于令牌的身份验证。 Web服务端点受ClientHandler和ServerHandler保护。 OpenAM具有Web服务安全信息,WSC配置文件和WSP配置文件, 他们有安全机制(SAML,Kerberos等......),加密等。