Mise en œuvre de l'authentification de base / Digest dans le code de serveur de Java / serveur Web
https://stackoverflow.com//questions/11698615
-
13-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Nous devons prendre en charge l'authentification de base et l'authentification ultérieure de Digest dans le projet Web Java. Mon doute est
- si l'authentification de base / Digest est une configuration dans Web Server (Tomcat, JBoss, etc.) .Nos utilisateurs / mot de passe sont dans une base de données SQL et nous obtenez-les via des dataservices.Dans ce cas, comment je peux configurer le Serveur Web pour utiliser les données de données pour authentifier?
- si j'ai besoin de gérer explicitement en code pour basique / digest authentification?Comme je recevrai une demande d'authentification de Servlet et se connectera aux données de données pour l'authentification?
La solution
L'authentification de base et de Digest est couverte par la spécification de servlet.Lisez la spécification ou Ce tutoriel pour savoir comment cela fonctionne.
où les informations d'identification sont stockées et comment elles sont vérifiées est à la discrétion de chaque conteneur, cependant.Tomcat prend en charge une variété de réorientation (basé sur le fichier, JDBCBasé, basé sur LDAP, etc.) Je ne sais pas pour JBoss.
Autres conseils
en Java EE Security est par défaut déclaratif. Cela signifie que vous spécifiez uniquement les ressources que vous souhaitez protéger via un concept abstrait appelé Role.
Ajout à la réponse de JB Nizet, JBoss comme modules de connexion spécifiques (à peu près équivalents aux implémentations de royaumes de Tomcat). Vous trouverez ici: Http://docs.jboss.org/jbosssecurity/docs/6.0/security_guide/html/login_modules.html
remarquablement inconnu de beaucoup (comme il semble), Java EE 6 prend également en charge les modules d'authentification normalisés . Il s'agit de la base de fichiers basée sur le fichier, etc. qui sont normalement considérées comme étant spécifiques au serveur / conteneur d'application.
Ceci est fait via la soi-disant API
- JBoss AS7: Activation de l'authentification JASPI pour les applications Web
- Mise en œuvre d'un fournisseur d'authentification personnalisé à l'aide de Jaspi
- authentification enfichable dans le niveau de la gishfish Web Tier
Malheureusement, l'adoption de Jaspic / Jaspi / JSR 196 semble au mieux le déficit. Pour le moment, les gens semblent faire confiance à des domaines spécifiques, de modules de connexion et de quoi vous en avez-vous beaucoup mieux, ou tout simplement pas au courant des alternatives.
