什么是在JAX-WS中使用安全性的最佳PRCTICE

Question

这是场景：我有一些Web服务（JAX-WS）需要确保。目前，对于身份验证需求，我提供了添加的SecurityWservice，为授权用户提供了一些用户ID和SessionID，需要在请求向其他服务的请求中描述。

使用一些Java安全性会更好。我们有很多，但无法定义更好的使用。

问题1：了解我应该在运输层中使用SSL，但是我应该将用户授权使用什么。建立会话，验证用户等有更好的方法吗？

这是一些关键描述：

1. 大多数Web服务Clents都是基于PHP的。
2. 我将JAX-WS实现用作无状态会话EJB。
3. 部署到玻璃鱼V3。

Q2：使用JSF 2.0和EJB3.1技术（Realms？wsit？），用于用户授权 /身份验证的最佳框架 /技术是什么？

谢谢你！

Answer 1

可以肯定的是，您必须使用HTTP。 SSL是在这些组件之间保持安全连接的胶水。

如果有一些服务在不同的域/服务器之间传播，并且您需要Web浏览器/客户端在所有这些系统中维护状态，则 Oauth 是一个很好的解决方案。该站点上有Java和Php Oauth植入。 Oauth是灵活的，满足了很多需求。

一种更简单的方法是使用 HTTP基本身份验证 带有SQL数据库支持的访问控制列表。会话状态可以存储在数据库或会话bean中，并由您的自定义Web服务访问。这比Oauth更常用。