我有一个基于小部件的前端与REST层交谈。要使用前端,人们需要使用用户名和密码登录。进入后,用户可以与小部件交互,这些小部件可以调用REST层。此时,REST层没有授权。如果您已成功登录,则可以执行任何操作。
但是,我想确保只有已登录的用户才能访问REST层。如果您尝试使用浏览器或其他客户端访问它,则应获得404.
我们已经成功地使用OpenSSO,但它很复杂。它的未来与OpenAM的转型存在疑问。此外,还需要与其他REST层集成,其中我构建的REST层的Java代码将作为其他服务的客户端,可以想象任何东西。
因此,我遇到了用其他东西保护我的东西和安全性可插拔性的问题。
我一直在阅读关于OAuth和CAS以及OpenID和JOSSO的内容,并且不断发现自己对于他们都解决了哪些问题感到困惑。我认为我的问题相当基本,但我不知所措。任何见解都表示赞赏。
感谢。
答案 0 :(得分:0)
这取决于您的REST层使用的框架。
例如,在restlet.org框架中,您可以扩展org.restlet.security.SecretVerifier 并根据会话,cookie等实现您的身份验证方案。