В настоящее время я работаю над проектом, работающим на JBoss AS 7, который требует аутентификации из разных источников. Я пытаюсь понять различные компоненты, которые объединяются для обеспечения аутентификации.Общие сведения об аутентификации на сервере приложений Java
У меня есть некоторые предположения/предположения относительно того, как все это сочетается, но мне нужно убедиться, что мое понимание верное. Итак, ниже я понимаю, что процесс проверки подлинности для JBoss AS7.
У вас есть область безопасности, которая определяет, как пользователи проходят аутентификацию. Затем эта область подвергается действию вашего приложения, чтобы защитить его или ее часть. В AS7 это настроено в подсистеме < xmlns = "urn: jboss: domain: security: 1.0" >.
Область может быть настроена для аутентификации пользователей с помощью различных источников с использованием модулей входа в систему, таких как база данных, LDAP, локальный файл или что-то еще. Можно определить несколько модулей входа, и вы можете указать некоторую комбинацию модулей входа, которые должны быть «успешными» для аутентификации.
Фактическое имя пользователя и пароли передаются через механизм, определенный в файле web.xml (для сервлетов), определенный в элементе < login-config >.
Предполагая, что описанный выше процесс является правильным (и это не может быть):
- ли все это падение процесс аутентификации в соответствии с спецификацией как JAAS, или JAAS лишь небольшая или необязательная часть эта процедура?
- Все типы < auth-methods > (т. Е. BASIC, DIGEST и FORM) работают со всеми типами логин-модулей? This page, похоже, не предлагает, но я не видел четкой документации, соответствующей < login-module > опции < login-config > опции.
- Поток имени пользователя и пароля из login-config в модуль входа в систему кажется достаточно прямым, но что происходит с такими системами, как OpenID или OAuth, где есть промежуточные шаги (например, перенаправление на внешние страницы входа)?
- Как такие проекты, как Seam 3 Security, Apache Shiro и Spring Security вставьте это изображение?
Чтобы ответить на ответ Ив, вы можете узнать больше об Apache Shiro здесь: http://shiro.apache.org Не стесняйтесь публиковать сообщения в списке, если у вас есть какие-либо проблемы. – Chunsaker