4

我正在尝试在 Java 中创建一个安全且可能计量的 Web 服务。

在我的研究中,我找到了很多关于 OpenSSO 的信息,并认为这是我的解决方案,直到我发现OpenAM已经接管了控制权并且不再开发 OpenSSO!

我已经安装了 Tomcat7+OpenAM 的最新版本并开始配置它

我的目标:

我想要一个基于会话/令牌的身份验证,用户可以在其中从安全的 Web 服务端点请求令牌(OpenAM 似乎提供了这个),而不是将该令牌包含在对受 OpenAM 保护的 Web 服务端点的后续 HTTP 请求中。

我看到了有关如何为 Apache 创建“代理策略”的指南……但到目前为止还没有 Tomcat?也许我对这些东西是如何工作的很天真——也许我会为 Tomcat 使用 Java EE 策略?

最后,很高兴:当用户点击特定服务时,我可以获取他们经过身份验证的令牌,并使用它以某种有意义的方式“计量”服务(记录有关请求的信息) - 是否有 API 挂钩在 OpenAM 中还是我应该计划在内部将其实施到 Web 服务?

我的问题是:是否有任何指南或示例项目来演示这种类型的配置。OpenAM 的文档很好,但我想我需要更多的帮助。

4

2 回答 2

1

你知道wssagents吗?我认为以下信息可以解决您的问题。

http://www.oracle.com/technetwork/java/wss-sdn-4-140497.html

ClientFilter 对应于基于令牌的身份验证。Web 服务端点受 ClientHandler 和 ServerHandler 保护。OpenAM 有 web-service 安全信息、WSC Profile 和 WSP Profile,它们有安全机制(SAML、Kerberos 等...)、加密等。

于 2012-01-19T16:05:29.180 回答
1

看看这个: https ://wikis.forgerock.org/confluence/display/openam/OpenSSO+Spring+Security+(Acegi)+Integration

我们正在将此视为一种可能的解决方案。我们计划使用 Spring 来协助我们的实现。

希望能帮助到你。

于 2012-01-18T02:47:52.867 回答