3

シナリオは次のとおりです。セキュリティで保護する必要のあるWebサービス(JAX-WS)がいくつかあります。現在、認証のニーズのために、他のサービスへのリクエストで説明する必要のあるユーザーIDとセッションIDを許可されたユーザーに提供する追加のSecurityWServiceを提供しています。

いくつかのJavaセキュリティを使用する方が良いでしょう。それらの多くはありますが、何を使用するのが良いかを定義できませんでした。

Q1:トランスポート層でSSLを使用する必要があることは理解していますが、ユーザー認証には何を使用する必要がありますか。セッションを確立したり、ユーザーを検証したりするためのより良い方法はありますか?

ここにいくつかの重要な説明があります:

  1. ほとんどのWebサービスクライアントはphpベースです。
  2. ステートレスセッションEJBとしてjax-ws実装を使用しています。
  3. glassfishv3へのデプロイ。

Q2:JSF 2.0およびejb3.1テクノロジー(レルム?WSIT?)を使用する場合のユーザー承認/認証に最適なフレームワーク/テクノロジーは何ですか?

ありがとう!

4

1 に答える 1

1

1つ確かなことは、HTTPSを使用する必要があるということです。SSLは、これらのコンポーネント間の安全な接続を維持するための接着剤です。

異なるドメイン/サーバー間で分散しているサービスがあり、これらすべてのシステム間で状態を維持するためにWebブラウザー/クライアントが必要な場合は、oAuthが優れたソリューションです。そのサイトにはJavaとPHPのoAuthの埋め込みがあります。oAuthは柔軟性があり、多くのニーズを満たします。

より単純なアプローチは、SQLデータベースに裏打ちされたアクセス制御リストでHTTP基本認証を使用することです。セッション状態は、データベースまたはセッションBeanに格納され、カスタムWebサービスからアクセスできます。これは、oAuthよりも一般的に実装されています。

于 2010-05-05T23:32:53.523 に答える