次のような状況があります。いくつかの Web アプリケーションがあり、すべて Spring Security を使用して認証/承認を行っています。これらすべての Web アプリケーションで使用される Web サービスを作成したいと考えています。通信は https で行われます。
Web サービス実装のメソッドの @Secured アノテーションが正しく機能するように、Web アプリケーションのセキュリティ コンテキストを Web サービスに伝達する必要があります。私はspring ws securityを見て、UsernameTokenProfile を使用して認証を正常に実装しました。しかし、認証情報 (つまり、ユーザーの役割) を転送するための標準ベースの方法を見つけることができないようです。
- SpringでWebサービスで承認を行う方法はありますか? (SAML、XACML?)
- Webサービスで認証を使用する場合、SpringはSecurityContextを構築しますか? コードをデバッグして SecurityContextHolder.getContext() を要求すると、null が返されます (要求が 1 つのスレッドで処理されると想定しています)。