我正在尝试在 Java 中创建一个安全且可能计量的 Web 服务。
在我的研究中,我找到了很多关于 OpenSSO 的信息,并认为这是我的解决方案,直到我发现OpenAM已经接管了控制权并且不再开发 OpenSSO!
我已经安装了 Tomcat7+OpenAM 的最新版本并开始配置它。
我的目标:
我想要一个基于会话/令牌的身份验证,用户可以在其中从安全的 Web 服务端点请求令牌(OpenAM 似乎提供了这个),而不是将该令牌包含在对受 OpenAM 保护的 Web 服务端点的后续 HTTP 请求中。
我看到了有关如何为 Apache 创建“代理策略”的指南……但到目前为止还没有 Tomcat?也许我对这些东西是如何工作的很天真——也许我会为 Tomcat 使用 Java EE 策略?
最后,很高兴:当用户点击特定服务时,我可以获取他们经过身份验证的令牌,并使用它以某种有意义的方式“计量”服务(记录有关请求的信息) - 是否有 API 挂钩在 OpenAM 中还是我应该计划在内部将其实施到 Web 服务?
我的问题是:是否有任何指南或示例项目来演示这种类型的配置。OpenAM 的文档很好,但我想我需要更多的帮助。