在Tomcat Servlet容器中进行身份验证和授权webapp请求的最佳方法是什么?
我有两个想法,
1 - 使用Tomcat领域。 2 - 有一个Web服务,它提供了根据XACML策略评估用户请求的功能。这意味着如果我们将用户名,资源名称(此处为servlet)发送到该Web服务,它将根据XACML策略(我们可以更改或添加新策略)评估请求,并说出允许或拒绝。
最好的方法是什么?
答案 0 :(得分:0)
我建议你使用tomcat领域或servlet过滤器
答案 1 :(得分:0)
容器管理身份验证是标准解决方案。这意味着您在Tomcat中定义JAASRealm并定义您自己的LoginModule和JAAS配置文件。 LoginModules可以做任何你喜欢的事情。 Tomcat将在需要时确保登录,并通过登录模块设置并在web.xml中定义的用户角色强制执行访问控制。无需过滤器。
答案 2 :(得分:0)
我编写了一个Servlet PEP,它从HttpServletObject创建XACML请求,并可能提供其他信息,例如:当天的时间并将其发送给PDP。
为此,我实现了javax.servlet.Filter。这真的是前进的最佳方式。在web.xml中,您可以定义过滤器的范围。
然后,我的PEP将XACML请求作为SOAP消息发送到Axiomatics XACML 3.0 PDP。你在用什么?
在Youtube上查看我的SDK视频,了解如何快速创建Java PEP。 http://www.youtube.com/watch?v=Z_2M775uFxo