我们有一个HTML5 + jQuery网站,部署在Apache Http上。简而言之,显示的数据是通过在Apache Tomcat上部署的后端调用REST服务获得的。用户使用这些服务的用户/密码对自己进行身份验证,然后获取一个授权令牌(存储为cookie),以便在进一步调用中使用它。
我试图弄清楚如何在这种情况下集成客户端证书身份验证(X509),作为除用户/密码之外的其他身份验证方法。
我在想的是将浏览器重定向到一些支持ssl的servlet,请求并读取客户端证书信息,对其进行身份验证,然后使用已建立的会话(一种使客户端有权调用后端服务的令牌)重定向回网站通过网站)。我不知道如何以某种方式保持这两种不同组件和技术之间的用户会话(如果可能的话)。
任何提示,指导,参考,不同的方法都将非常感激。
答案 0 :(得分:0)
简而言之,显示的数据是通过调用REST服务获得的 后端,部署在Apache Tomcat上。用户通过身份验证自己 这些服务的用户/密码,并获得授权令牌, 存储为cookie,以便在进一步的调用中使用它。
这违反了stateless constraint,因此它不是REST。您必须在客户端维护会话,并使用每个(加密的HTTPS)请求发送用户名和密码。