JBoss-As 7でRESTeasy JSON API を開発しています。
別の別の Web サーバーがあります。
サーバー側ではJavaを使用し、クライアント側ではJavacript、JQuery、AJAXを使用して開発しています。
したがって、2 つの異なる* war * があり、次のようにアクセスできるとします。
- https.//localhost:8443/services
- http.//localhost:8080/web
今、私はこの 2 人の男を確保したいと考えています。RESTeasy APIとweb-server .
私の構造について教えてください:
- ユーザー名とパスワードを使用して、ユーザーをDBに保持します。これらは今のところ唯一のユーザーです。
- ユーザーを認証するためのログイン ページがあります (http 基本認証ポップアップとその回避策は必要ありません)。
- REST APIのクライアントはブラウザーです (Web サーバーではありません)。静的なページがロードされ、次に他のいくつかの動的なものが REST API を介してロードされ、JQuery、AJAX などを使用してブラウザーから呼び出されます。
- すべての通信はSSL/TLSを介して行うことができます。問題ありません。
- 将来的には、スケーラビリティ (Web ブラウザー以外のクライアント、ソーシャル ネットワーク ログインで認証する機能など) を考慮する必要があります。
私のシナリオは次のとおりです。
- クライアントはブラウザです。
web/aaa.htmlクライアントは、認証されたユーザーに制限されている Web ページにアクセスしたいと考えています。- クライアントはログイン ページにリダイレクトされます。
web/login.html クライアントはFORMに記入し、... に送信しました。
a) rest-api へ、または
b)ウェブサーバーへ、
わかりません(つまり、ここに暗黙の質問があります)。
しかし、いずれにせよ、 a または b がすべきことは同じです。
ユーザー名とパスワードを確認してください。それらがチェックされ、ユーザーが認証されたとしましょう。
これからは、次の 2 つのことを同時に取得する必要があります。
1-クライアントは、制限されたページをナビゲートすることを承認されています。
2-クライアントは REST API 呼び出しで承認されます。
したがって、ログインページで認証した後、これら2つのことが同時に発生する必要があります。
トークン、キーなどを使用した REST API での承認について、多くのことを読みました。はい、 Spring Security、Apache Shiroなどについても聞いたことがあります。
はい、私は新しいセキュリティ フレームワークを独自に実装したくありません。使用します。いくつかのフレームワークがトークンなどを生成/チェックできると思います。
Spring Security と Apache Shiro の前に、 resteasy スケルトン キー JBoss モジュールについて知りたいです。
次のソースがあります。
https://github.com/resteasy/Resteasy/tree/3.0.1.Final/jaxrs/examples/oauth2-as7-example
http://docs.jboss.org/resteasy/docs/3.0-beta-2/userguide/html/oauth2.html
しかし、それらは私にはあまり説明的ではないように見えました。また、それらが必要なものであるかどうかもわかりません.
スケルトン キー (または一般的には JBoss App レイヤー) を構成する方法を知っていて、私が説明したことを達成するための有用な例を教えてくれる人はいますか?
または、特に私の質問が「実装方法」に関するものであることに注意して、私の目標を達成するための他のアドバイス/例を教えてください。どこから始めればよいかわかりません。
前もって感謝します。