jax-wsでセキュリティを使用するのに最適なprcticeは何ですか
質問
シナリオは次のとおりです。保護する必要があるWebサービス(JAX-WS)がいくつかあります。現在、認証のニーズについては、認定ユーザーに他のサービスへのリクエストで説明する必要があるユーザーIDおよびSESSIONIDを提供する追加のセキュリティサービスを提供しています。
Javaセキュリティを使用する方が良いでしょう。それらの多くはありますが、使用する方が良いものを定義できませんでした。
Q1:輸送層でSSLを使用する必要があることは理解されていますが、ユーザー承認に何を使用する必要がありますか。セッションを確立したり、ユーザーの検証などを確立するためのより良い方法はありますか?
ここにいくつかの重要な説明があります:
- ほとんどのWebサービスのCalentsはPHPベースです。
- 私はJax-WS実装をStateless Session EJBとして使用しています。
- Glassfish V3への展開。
Q2:JSF 2.0およびEJB3.1テクノロジー(レルム?WSIT?)を使用した場合のユーザー承認 /認証に最適なフレームワーク /テクノロジーは何ですか?
ありがとう!
解決
1つ確かなことは、HTTPSを使用する必要があります。 SSLは、これらのコンポーネント間の安全な接続を維持するための接着剤です。
異なるドメイン/サーバー間に広がっているサービスがあり、これらすべてのシステムで状態を維持するためにWebブラウザー/クライアントが必要な場合、 oauth 良い解決策です。そのサイトにはJavaとPHP OAuthの移植があります。 OAuthは柔軟であり、多くのニーズを満たしています。
より単純なアプローチは使用することです HTTP基本認証 SQLデータベースに裏打ちされたアクセス制御リスト。セッション状態は、データベースまたはセッションBeanに保存され、カスタムWebサービスからアクセスできます。これは、OAuthよりも一般的に実装されています。