Tomcatアプリケーションサーバーで実行されているWebアプリケーション(gwt)があります。このWebアプリケーションは、いくつかのWebサービス(ログイン、アプリケーションデータ転送、クエリなど)を使用します。Tomcat上のWebサービスクライアントは、apacheaxis2Webサービスクライアントとして実装されています。
ユーザーログオンのために、ユーザー名とパスワードを使用してWebアプリケーションにフォームを提供します。このデータは、ユーザーを認証するためにWebサービスを介して送信されます。
ホール認証メカニズムをクライアント認証ベースの認証に変更する予定です。認証は、引き続きWebサービスプロバイダー側で行う必要があります。したがって、私のシステムには、Webクライアント、Tomcatアプリケーションサーバー、およびWebサービスプロバイダーの3つの関連コンポーネントがあります。
アプリケーションのすべてのユーザーは、独自のプライベートクライアント証明書(PKIトークン、X.509-Auth-Cert)を持っています。ユーザーがWebアプリケーションに接続すると、証明書が要求されます。
Webサービスで使用するためにクライアント証明書を転送するにはどうすればよいですか?(Tomcatは認証の責任を負いません)。
1.)認証エラーが発生する前に、リクエストをインターセプトしてクライアント証明書を抽出する方法はありますか?サーブレットフィルターに関するいくつかの情報を見つけましたが、それらがtomcatsキーストアに対して検証される前に、証明書をインターセプトするためにどこに実装するかがわかりません。
2.)可能であれば、クライアント証明書をWebサービスに渡すにはどうすればよいですか?
読んでくれてありがとう