サーバー側とクライアント側の異なるアプリ サーバーに個別の WAR があります。サーバー側との UI 対話は、REST API を介して行われます。
問題は、REST サービスが 8080 ポートでホストされていることです。URL を指定すると、結果の XML が表示されることがわかります。もうこれは危険です。クライアント側の WAR から発信されたリクエスト以外に、実際に結果を見てもらいたくないのです。クライアント側の認証と承認はありますが、サーバー側の WAR に同じものをどのように伝達するのですか。ワークフローを説明するために、サンプルの使用例を挙げましょう。これで、ユーザー ID がポスト リクエストで送信され、適切な REST API が呼び出され、そのユーザー ID のすべての注文が返されます。ここで心配なのは、その URL を知っている人なら誰でも、実際に任意のユーザーのすべての注文のリストを取得できることです。この許可されていない、おそらく認証されていないリクエストを停止するにはどうすればよいですか? 異なるコンテナーにデプロイされたクライアント側とサーバー側の 2 つの異なる WAR のこのシナリオで、承認と認証を統合するにはどうすればよいでしょうか。