Любой пользователь, который пытается получить доступ к некоторым защищенным ресурсам в моем веб-приложении A, должен быть аутентифицирован с помощью webapp B. B имеет доступ к паролю учетных данных пользователя и т. Д., Мне интересно правильный путь для этого.j2ee webapp A с использованием средства проверки подлинности веб-приложения B
Одним из альтернативных вариантов может быть фильтр, защищающий мои защищенные страницы. Если пользователь, не прошедший проверку подлинности, получает доступ к защищенному ресурсу от A, фильтр улавливает запрос и перенаправляет браузер на страницу входа в B.
B регистрирует пользователя в и перенаправляет браузер на защищенную страницу на сервера, вместе с идентификатором сессии некоторых Б и некоторые лексемы indicatng, что пользователь зарегистрирован в системе.
Фильтр улавливает редирект из B на A, извлекает информацию токена аутентификации из заголовка ответа B и регистрирует пользователя в сеансе A.
Все последующие запросы от браузера передают токен, который B установил. Фильтр видит этот токен и считает, что пользователь вошел в систему.
Это звучит здорово или я пропускаю большие вещи?
Также является ли сервлетфильтр лучшим способом для достижения этого потока? Как насчет декларативной безопасности в web.xml? Как я могу выполнить один и тот же поток с использованием декларативной безопасности?