将自定义应用程序身份验证与JAVA EE安全性相结合。可能?

时间:2015-06-08 02:13:18

标签: authentication websphere single-sign-on java-ee-6 websphere-8

当前设置:

  1. 我们有两个网络应用程序(App1和App2)。
  2. App1不使用任何身份验证,因为它纯粹是信息性的。
  3. App2使用API​​进行身份验证(API连接到某个服务器以验证用户身份)
  4. 使用的Application Server:Websphere 8

    5. 问题:

    1. 需要为App1和App2实施SSO。我知道为了能够在Websphere中实现SSO,应用程序必须使用Java EE安全性进行身份验证。当app2有自己的自定义身份验证过程时,是否仍然可以为app2实现此功能?为了实现两个应用程序的SSO

      2. 谢谢,

1 个答案:

答案 0 :(得分:1)

让我们说清楚一下。您说App1根本不受保护,App2受某些自定义身份验证过程的保护。正确?

那么对于App2 - > App1重定向您不需要任何SSO,因为App1不受保护。对于App1 - >由于App1没有要传递的安全上下文,因此无法实现任何SSO的App2重定向。

如果App1也受到保护(无论以何种方式,例如HttpAuth基本 - 可以是完全不同的身份验证方法,而不是App2使用),并且两个应用程序都在IBM环境(例如WAS)上运行,则使用LTPA SSO:

  1. 用户访问App1并由HttpAuth Basic进行身份验证。
  2. WebSphere为他创建了一个LTPA(SSO)令牌,这个令牌与所有后续请求一起传递 - 用户只需一次/ LTPA会话进行身份验证。
  3. 如果同一个用户随后访问在WAS上运行的app2,并且如果WAS服务器之间存在LTPA信任(在单元内自动,通过创建跨单元信任手动)以及用户是否属于同一个REALM ,它被认为是经过身份验证并且让它 - 没有App2自定义身份验证。
相关问题
最新问题