Hoe authenticeer en autoriseer je webapp-aanvragen in Tomcat Servlet Container

Wat is de beste manier om authenticatie en autorisatie van webapp-aanvragen in Tomcat Servlet-containers uit te voeren?

Ik heb twee ideeën,

1 - Gebruik het Tomcat-rijk. 2 - Er is een webservice waar het de mogelijkheid biedt om het gebruikersverzoek tegen XACML-beleid te evalueren. Dat betekent dat als we gebruikersnaam, resourcenaam (hier de servlet) naar die webservice sturen, het de aanvraag zal evalueren aan de hand van een XACML-beleid (waar we nieuwe beleidsregels kunnen wijzigen of toevoegen) en toestemming of weigering kan zeggen.

Wat is de beste manier?

0

3 antwoord

Ik heb een Servlet PEP geschreven die XACML-aanvragen van het HttpServletObject en mogelijk aanvullende informatie, bijvoorbeeld tijd van de dag en stuurt het naar een PDP.

Om dit te doen, heb ik javax.servlet.Filter geïmplementeerd. Het is echt de beste manier om vooruit te komen. In uw web.xml kunt u vervolgens de reikwijdte van het filter definiëren.

Mijn PEP stuurt vervolgens het XACML-verzoek als een SOAP-bericht naar een Axiomatics XACML 3.0 PDP. Wat gebruik je?

Check out my SDK video on Youtube too that shows how to quickly create a Java PEP. http://www.youtube.com/watch?v=Z_2M775uFxo

0
toegevoegd

Container Managed Authentication is de standaardoplossing. Dat betekent dat je een JAASRealm definieert in Tomcat en je eigen LoginModule (s) en JAAS-configuratiebestand definieert. De LoginModules kunnen doen wat u maar wilt. Tomcat zorgt voor een login indien nodig en dwingt toegangsbeheer af via de rollen van de gebruiker zoals ingesteld door uw inlogmodule en gedefinieerd in web.xml. Geen filters vereist.

0
toegevoegd

Ik raad u aan om tomcat-realm of servlet-filters te gebruiken

0
toegevoegd