我在Oracle App Server上运行了现有的j2ee应用程序。它针对付费客户,因此内容是安全的,SSO模块可以正确拦截所有安全内容请求。
现在该公司正在添加一个无品牌的面向公众的模块,其中包含许多不安全的页面。有一次,用户需要注册一个免费帐户并登录以继续。认为医生为潜在患者添加面向公众的网站,或者为律师添加面向公众的网站,为潜在客户提供信息。有关会话的一些信息,通常的方法是验证用户,使用现在已知的用户ID持久保存会话信息,使现有会话无效(以防止某些类型的攻击),在返回之前重新加载会话信息用户。我不能只在会话ID下坚持它,因为它即将改变。
故障是现有应用程序已经有一个SSO模块,每次我尝试指向j_security_check时都会收到404错误。我试过了,/ sso / j_security_check,甚至是http://localhost/sso/j_security_check,都没有成功。
我注意到之前的一个问题是tomcat需要在j_security_check可见之前访问受保护的页面。我不知道Oracle AS是否就是这种情况。
想法?或者是继续争论我们拥有不同用户群的最佳方法,因此最好在我们自己的模块中处理身份验证?
答案 0 :(得分:0)
在提出问题时我有一点大脑冻结 - 应用程序没有调用SSO,SSO拦截对安全页面的调用。除了调用安全页面之外,无法手动触发它。我发现自己处于杂草中,因为我们一直在讨论网页之间的流程,因为当我们从公共页面过渡到安全页面时,就会显式调用登录页面。
那说看起来答案涉及在j2ee / home / config / system-jazn-data和我的每个应用程序orion-application.xml jazn节中设置一个非默认域。我仍然没有找到一种方法来获得不同的jsp登录页面。